Программа: OneWorldStore 

Уязвимость позволяет удаленному пользователю просмотреть сделанные заказы других пользователей.
Удаленный пользователь может запросить сценарий ‘PaymentMethods/owOfflineCC.asp’ со специальным значением переменной ‘idOrder’ и получить информацию о заказах другого пользователя, а также его имя и адрес. 

Пример:

http://[target]/owBasket/PaymentMethods/owOfflineCC.asp? idOrder=1

Оставить мнение