Программа: CubeCart

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить информацию об установочной
директории на сервере.

Уязвимость существует в сценарии ‘admin/Settings.inc.php’
из-за некорректной фильтрации данных в
параметрах cat_id, PHPSESSID, view_doc, product, session, catname,
search, и page. Злоумышленник может создать
специальным образом URL и выполнить
произвольный HTML сценарий в браузере
целевого пользователя.

Удаленный пользователь может
непосредственно запросить сценарии
information.php, language.php, list_docs.php, popular_prod.php, sale.php
subfooter.inc.php, subheader.inc.php, cat_navi.php и получить
информацию об установочной директории
приложения на сервере.

Оставить мнение