Security Lab

Раскрытие информации в OneWorldStore

Дата публикации:26.04.2005
Дата изменения:17.10.2006
Всего просмотров:941
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: OneWorldStore

Описание:
Уязвимость позволяет удаленному пользователю просмотреть сделанные заказы других пользователей.

Удаленный пользователь может запросить сценарий 'PaymentMethods/owOfflineCC.asp' со специальным значением переменной 'idOrder' и получить информацию о заказах другого пользователя, а также его имя и адрес. Пример:

http://[target]/owBasket/PaymentMethods/owOfflineCC.a sp?idOrder=1

URL производителя: oneworldstore.com

Решение: Установите обновление от производителя.

Примечание: Опасность уязвимости оценена как высокая, поскольку злоумышленник может заполучить критически важную информацию о человеке – его имя и адрес.

Ссылки: OneWorldStore user order information disclosure