Zen Cart up to 1.2.x 跨站脚本攻击

CVE编号

CVE-2011-4567

利用情况

暂无

补丁情况

N/A

披露时间

2011-11-29

漏洞描述

Zen Cart是一款免费开源的购物车软件。 Zen Cart 1.5之前版本的includes/templates/template_default/templates/tpl_gv_send_default.php中存在跨站脚本（XSS）漏洞。远程攻击者可以借助message参数注入任意web脚本或者HTML。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.zen-cart.cn/

参考链接
http://www.securityfocus.com/bid/50787
https://exchange.xforce.ibmcloud.com/vulnerabilities/71519
https://www.dognaedis.com/vulns/DGS-SEC-8.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zen-cart	zen_cart	*		Up to (including) 1.3.9
	运行在以下环境
	应用	zen-cart	zen_cart	1.1.0	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.1.3	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.0d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.1	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.1d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.2d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.3d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.4.1	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.4d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.5d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.2.6d	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.0.2	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.2	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.5	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.6	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.7	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.8	-
	运行在以下环境
	应用	zen-cart	zen_cart	1.3.8a	-

攻击路径网络
攻击复杂度 N/A
权限要求无
影响范围 N/A
用户交互需要
可用性无
保密性无
完整性部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

正文

Zen Cart up to 1.2.x 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]