BestShopPro “str” cross-site scripting sérülékenység

CH azonosító

CH-5887

Angol cím

BestShopPro "str" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2011.11.02.

Súlyosság

Alacsony

Érintett rendszerek

BST
BestShopPro

Érintett verziók

BestShopPro

Összefoglaló

A BestShopPro sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

A nowosci.php-ben található “str” paraméter (amikor “a” értéke “1”) részére átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében