Cetera eCommerce cross-site scripting sérülékenységek

CH azonosító

CH-3420

Angol cím

Cetera eCommerce Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2010.08.02.

Súlyosság

Alacsony

Érintett rendszerek

Cetera
eCommerce

Érintett verziók

Cetera eCommerce 14.x

Összefoglaló

A Cetera eCommerce olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS) támadásokat tudnak végrehajtani.

Leírás

  1. A “messageParam[0]” paraméterrel az account/ könyvtár indexelő scriptjének és a cms/index.php-nek, a “messageES” paraméterrel a cms/index.php-nek, a “sobject” paraméterrel a cms/templates/search.php-nek, a “deleted” paraméterrel a cms/templates/bannerlist.php-nek és az “errorMessage” paraméterrel a cms/templates/bannerlist.php-nek és cms/templates/banner.php-nek átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
  2. Az URL-el átadott bemenet, amikor az URL egy nem létező oldalt határoz meg, nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz (pl. egy 404 hiba oldallal). Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.

A sérülékenység a 14.0-ás verzióban jelentették, egyéb verziók is érintettek lehetnek.

Megoldás

Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!

Hivatkozások

SECUNIA 40763
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
CVE-2025-7329 – Rockwell NAT cross-site scripting sérülékenysége
CVE-2025-7328 – Rockwell NAT hiányzó autentikáció sérülékenység
CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »