Межсайтовый скриптинг и административный доступ в PayProCart

Описание:
Удаленный пользователь может произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

1. Уязвимость существует из-за некорректной обработки входных данных в параметре 'ftoedit'. Удаленный пользователь может получить административный доступ к приложению. Пример:

http://[target]/adminshop/index.php?proMod=
index&amp%3bftoedit=..%2fshopincs%2fma intopENG

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре 'modID'. Удаленный пользователь может получить данные об установочной директории приложения. Пример:

http://[target]/index.php?modID=../EVIL_VALUE

3. Межсайтовый скриптинг возможен из-за некорректной фильтрации входных данных в параметре ’sgnuptype’ сценария 'usrdetails.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/usrdetails.php?sgnuptype=
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

URL производителя: www.profitcode.net/products/payprocart.html

Решение: Способов устранения уязвимости не существует в настоящее время.