Программа: PayProCart 3.0
Удаленный пользователь может произвести
XSS нападение и получить доступ к
потенциально важным данным других
пользователей.
1. Уязвимость существует из-за
некорректной обработки входных данных в
параметре 'ftoedit'. Удаленный пользователь
может получить административный доступ к
приложению. Пример:
http://[target]/adminshop/index.php?proMod=index&%
3bftoedit=..%2fshopincs%2fma intopENG
2. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре 'modID'. Удаленный пользователь
может получить данные об установочной
директории приложения. Пример:
http://[target]/index.php?modID=../EVIL_VALUE
3. Межсайтовый скриптинг возможен из-за
некорректной фильтрации входных данных в
параметре ’sgnuptype’ сценария 'usrdetails.php'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
Пример:
http://[target]/usrdetails.php?sgnuptype=%22%3E%3 Cscript%3Ealert(document.cookie)%3C/script%3E