Программа: Spider Sales Shopping Cart
Несколько уязвимостей обнаружено в Spider Sales shopping cart. Удаленный пользователь может выполнить произвольные команды операционной системы не целевой системе.
Несколько сценариев не проверяют данные, представленные пользователем в параметре 'userId'. Удаленный пользователь может представить специально обработанный URL, чтобы внедрить произвольные SQL команды:
http://[target]/Carts/Computers/viewCart.asp?userID
=2893225125722634';exec%20master..xp_cmdshell %20'dir%20c:%20>%20c: \inetpub\
wwwroot\dirc.txt'--&&
Также сообщается, что программное обеспечение использует слабое кодирование паролей, хранящихся в базе данных.
