Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/10/2013

Vulnerabilidad de inserción de código en osCommerce

Chris Woods ha descubierto una vulnerabilidad en osCommerce que podría ser aprovechada por atacantes maliciosos para realizar un ataque de inserción de código.

Chris Woods ha descubierto una vulnerabilidad en osCommerce que podría ser aprovechada por atacantes maliciosos para realizar un ataque de inserción de código.

 La información de entrada pasada a través del parámetro GET a product_info.php no se senean correctamente antes de ser utilizada. Esto puede ser aprovechado para insertar código script y HTML arbitrarios, que serán ejecutados en la sesión del navegador del usuario, en el contexto del sitio afectado si se muestra la información maliciosa.

La vulnerabilidad está confirmada en la versión 2.3.3. Versiones anteriores también podrían verse afectadas.

 

Sistemas Afectados:

osCommerce 2.x 

Referencias:

None

Solución:

Actualizar a la versión 2.3.3.1.

Notas:

osCommerce:
http://www.oscommerce.com/Us&News=144

Chris Wood:
http://www.invivid.com/files/2013/oscomm_233_exploit.pdf

CSIRT-CV