Security Lab

Межсайтовый скриптинг в Comersus

Дата публикации:06.04.2005
Всего просмотров:1088
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Comersus Cart 6.x
Уязвимые версии: Comersus 6

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует в поле username из-за некорректной фильтрации входных данных. Злоумышленник может указать при регистрации специально сформированное имя пользователя, и выполнить произвольный HTML сценарий в браузере администратора сайта. Пример:

Tommy <script>alert(document.cookie)</script>

URL производителя: www.comersus.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: [HSC Security Group] Comersus v6 Script injection