Межсайтовый скриптинг в osCommerce
| Дата публикации: | 25.03.2003 |
| Всего просмотров: | 3104 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | osCommerce 2.x |
| Описание: | Уязвимость в проверке правильности ввода обнаружена в osCommerce. Удаленный пользователь может выполнить XSS нападение и внедриться в сессию другого пользователя.
Как сообщается, несколько компонентов в osCommerce не фильтруют ввод пользователя. В результате, удаленный пользователь может сконструировать URL, который, при загрузке целевым пользователем, выполнит произвольный код сценария в браузере целевого пользователя. Пример: http://[target]/default.php?error_message=%3Cscript%20language=javascript%3Ewindow.alert%28document.cookie%29 ;%3C/script%3EТакже уязвима переменная 'info_message' в нескольких сценариях. Уязвимость обнаружена в osCommerce Prior to March 14, 2003; 2.2ms1 |
| Ссылки: | osCommerce multiple XSS vulnerabilities |