Összefoglaló
Az EC-CUBE olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások okozására.
Leírás
Bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre a data/Smarty/templates/default/list.tpl-ben és a data/Smarty/templates/default/campaign/bloc/cart_tag.tpl-ben, mielőtt a felhasználó részére visszaküldésre kerülne.
Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 2.4.4 előtti verziókban jelentették.
Megoldás
Frissítsen a 2.4.4. vagy későbbi verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43153
Gyártói referencia: www.ec-cube.net
Egyéb referencia: jvn.jp
Egyéb referencia: jvndb.jvn.jp
CVE-2011-0451 - NVD CVE-2011-0451