Программа: CubeCart 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS-нападение на целевую систему. Многочисленные входные данные не правильно обрабатываются, что может быть использовано злоумышленниками для выполнения произвольного сценария в сессии браузера пользователя в контексте безопасности зараженного сайта.

Примеры:

http://[host]/admin/nav.php?site_url=[code]
http://[host]/admin/nav.php?la_search_home=[code]
http://[host]/admin/header.inc.php?site_name=[code]
http://[host]/admin/header.inc.php?la_adm_header=[code]
http://[host]/admin/header.inc.php?charset=[code]
http://[host]/footer.inc.php?la_pow_by=[code]

Успешное эксплуатирование уязвимости требует включение опции "register_globals".



Оставить мнение