Программа: INFINICART
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему и выполнить произвольные SQL команды в базе данных приложения.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметре "groupid" сценарием browse_group.asp, в параметре "productid" сценарием added_to_cart.asp и параметрах "catid" и "subid" сценарием browsesubcat.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2) Уязвимость существует из-за недостаточной обработки входных данных в параметрах "email" и "password" сценарием login.asp, в параметре "search" сценарием search.asp, и в параметре "email" сценарием sendpassword.asp.
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.