Összefoglaló
A Work system e-commerce olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadást hajthatnak végre.
Leírás
A “day”, “month” és “year” paraméterekhez rendelt bevitel a module/main.php-ben nincs megfelelően megtisztítva mielőtt a felhasználóhoz visszakerül. Ezt kihasználva rosszindulatú támadók tetszőleges HTML és script kódot futtatathatnak a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenységek a 4.0.9-es verzióban találhatók, de más verziók is érintettek lehetnek.
Megoldás
Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!