CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/10/2013

Vulnerabilitat d'inserció de codi a osCommerce

Chris Woods ha descobert una vulnerabilitat en osCommerce que podria ser aprofitada per atacants maliciosos per a realitzar un atac d’inserció de codi.

Risc: Mitjà

Chris Woods ha descobert una vulnerabilitat en osCommerce que podria ser aprofitada per atacants maliciosos per a realitzar un atac d’inserció de codi.

La informació d’entrada passada a través del paràmetre GET a product_info.php no se sanegen correctament abans de ser utilitzada. Açò pot ser aprofitat per a inserir codi script i HTML arbitraris, que seran executats en la sessió del navegador de l’usuari, en el context del lloc afectat, si es mostra la informació maliciosa.

La vulnerabilitat està confirmada en la versió 2.3.3. Versions anteriors també podrien estar afectades.

Sistemes Afectats:

osCommerce 2.x 

Referències:

None

Solució:

Actualitzeu a la versió 2.3.3.1.

Notes:

osCommerce:
http://www.oscommerce.com/Us&News=144

Chris Wood:
http://www.invivid.com/files/2013/oscomm_233_exploit.pdf

Font: Secunia Advisories

CSIRT-CV