Множественные уязвимости в EC-CUBE
| Дата публикации: | 23.05.2013 |
| Всего просмотров: | 1138 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 4 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2013-2312 CVE-2013-2313 CVE-2013-2314 CVE-2013-2315 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Внедрение в сессию пользователя Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | EC-CUBE 2.x |
| Уязвимые версии: EC-CUBE 2.11.0, возможно другие версии.
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных, связанных с shopping cart. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может проникнуть в сессию другого пользователя. 3. Уязвимость существует из-за того, что приложение неправильно ограничивает доступ к management screen. Удаленный пользователь может обойти механизм авторизации в management screen. 4. Уязвимость существует из-за ошибки, связанной с функционалом напоминания пароля. Удаленный пользователь может получить доступ к потенциально важной информации. URL производителя: http://www.ec-cube.net/ Решение: Установите обновление до версии 2.12.3 с сайта производителя. |
|
| Ссылки: |
http://www.ec-cube.net/info/weakness/weakness.php?id=40 http://www.ec-cube.net/info/weakness/weakness.php?id=42 http://www.ec-cube.net/info/weakness/weakness.php?id=43 http://jvn.jp/en/jp/JVN00985872/index.html http://jvn.jp/en/jp/JVN39699406/index.html http://jvn.jp/en/jp/JVN45306814/index.html http://jvn.jp/en/jp/JVN52552792/index.html http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000041.html http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000042.html http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000043.html http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000044.html http://jvn.jp/jp/JVN00985872/index.html http://jvn.jp/jp/JVN39699406/index.html http://jvn.jp/jp/JVN45306814/index.html http://jvn.jp/jp/JVN52552792/index.html http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000041.html http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000042.html http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000043.html http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000044.html |