Межсайтовый скриптинг в CubeCart

Дата публикации:	23.01.2006
Дата изменения:	24.03.2009
Всего просмотров:	1538
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2006-0245 CVE-2006-0922
Вектор эксплуатации:	Удаленная
Воздействие:	Обход ограничений безопасности
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	CubeCart 2.x CubeCart 3.x
	Уязвимые версии: CubeCart 3.0.7-pl1 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных перед выводом их в браузер пользователя. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://[host]/index.php?act=viewProd&productId=1">[code] http://[host]/index.php?act=viewDoc&docId=3">[code] http://[host]/index.php?act=viewProd">[code] http://[host]/index.php?act=viewCat&catId=1">[code] http://[host]/index.php?act=viewCat&catId=saleItems">[code] http://[host]/index.php?searchStr=[code]&act=viewCat http://[host]/cart.php?act=reg&redir=[code] "username" parameter passed to "index.php?act=login" URL производителя: www.cubecart.com Решение: Установите последнюю версию с сайта производителя. Источник: Журнал изменений: 24.03.2009 Изменена секция "Решение"
Ссылки:	CubeCart 3.0.7-pl1 index.php multiple variable cross site scripting

Межсайтовый скриптинг в CubeCart

Подпишитесь на email рассылку