Уязвимость в проверке правильности ввода обнаружена в osCommerce. Удаленный пользователь может выполнить XSS нападение и внедриться в сессию другого пользователя.
Как сообщается, несколько компонентов в osCommerce не фильтруют ввод пользователя. В результате, удаленный пользователь может сконструировать URL, который, при загрузке целевым пользователем, выполнит произвольный код сценария в браузере целевого пользователя. Пример:
http://[target]/default.php?error_message=%3Cscript%20language=
javascript%3Ewindow.alert%28document.cookie%29;%3C/script%3E
Также уязвима переменная info_message в нескольких сценариях.
Уязвимость обнаружена в osCommerce Prior to March 14, 2003; 2.2ms1.
