ViArt Shop script beszúrásos sérülékenységek

CH azonosító

CH-7649

Angol cím

ViArt Shop Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2012.09.25.

Súlyosság

Alacsony

Érintett rendszerek

ViArt
ViArt Shop

Érintett verziók

ViArt Shop 4.x

Összefoglaló

A ViArt Shop több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.

Leírás

Több paraméteren és script-en keresztül átadott bemeneti adat nem megfelelően van megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

Az érintett script-ek és paraméterek:

  • http://[host]/admin/admin_item_type.php?item_type_name
  • http://[host]/admin/admin_supplier.php?supplier_name
  • http://[host]/admin/admin_saved_type.php?type_name
  • http://[host]/admin/admin_forum_topic.php?remote_address&topic

A sérülékenységek sikeres kihasználásához hozzáférés szükséges az adott részekhez.

A sérülékenységeket a 4.1 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Ismeretlen