Множественные уязвимости в OXID eShop
- Дата публикации:
- 21.09.2009
- Дата изменения:
- 21.09.2009
- Всего просмотров:
- 2739
- Опасность:
- Средняя
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
-
CVE-2009-2266
CVE-2009-3112
CVE-2009-3113 - Вектор эксплуатации:
- Удаленная
- Воздействие:
-
Раскрытие важных данных
Обход ограничений безопасности - CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- OXID eshop 4.x
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным.
1. Уязвимость существует из-за недостаточного ограничения доступа к административному интерфейсу приложения. Удаленный пользователь может с помощью специально сформированного URL получить доступ к административному интерфейсу.
2. Уязвимость существует из-за того, что приложение недостаточного ограничивает доступ на запись для отзывов о продуктах. Удаленный пользователь может добавить определенный параметр к ссылке и изменить данные на Web сайте.
3. Уязвимость существует из-за ошибки при обработке определенных параметров в файле куки. Удаленный пользователь может получить доступ к сессионным данным незарегистрированных пользователей, которые содержат личные данные пользователя и историю заказов.
URL производителя: www.oxid-esales.com
Решение: Установите последнюю версию 4.1.4-21266 с сайта производителя.
Ссылки:
http://www.oxidforge.org/wiki/Security_bulletins/2009-001
http://www.oxidforge.org/wiki/Security_bulletins/2009-002
http://www.oxidforge.org/wiki/Security_bulletins/2009-003