Программа: E-Store Kit-2 PayPal Edition
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует из-за недостаточной фильтрации
данных в параметре main сценария 'catalog.php' и
параметре 'txn_id' сценария 'downloadform.php'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
Примеры:
http://[target]/demo/ms-pe02/catalog.php?cid=0&sid='%22& sortfield=title&sortorder=ASC&pagenumber=1&main=
http://whatismyip.com&menu=http://whatismyip.com
http://[target]/demo/ms-pe02/downloadform.php?txn_id=">& lt;scr
ipt>alert(document.cookie)</script>
