漏洞信息详情

CaupoShop用户信息跨站脚本执行漏洞

• CNNVD编号：CNNVD-200207-117
• 危害等级： 高危
  
• CVE编号： CVE-2002-0439
• 漏洞类型： 输入验证
• 发布时间： 2002-03-11
• 威胁类型： 远程
• 更新时间： 2006-12-27
• 厂        商： caupo.net
• 漏洞来源： ppp-design※ securi...

漏洞简介

CaupoShop是一款基于WEB的电子购物系统，由PHP实现，使用在Linux，windows或者其他Unix系统平台上。 CaupoShop对在用户信息域中的输入过滤上存在漏洞，可导致远程攻击者利用用户信息域插入Javascript代码对其他浏览用户进行跨站脚本执行攻击。 当注册一个新的客户时，CaupoShop对用户信息域的输入没有进行过滤，攻击者可以插入恶意脚本代码，当管理员在管理域中查看客户列表的时候导致脚本代码被执行，可导致泄露用户信息，改变用户密码或者帖子等问题。 其他早期版本也应该存在此漏洞，不过没有被证实。

漏洞公告

临时解决方法： 如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在浏览器设置中禁止java脚本执行可以在一定程度上减少这种漏洞造成的危害。 厂商补丁： Caupo.net --------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Caupo.net Upgrade CaupoShop-Classic-130-rc4.zip

http://www.caupo.com/soft/download/CaupoShop-Classic-130-rc4.zip

参考网址

来源: BID 名称: 4270 链接:http://www.securityfocus.com/bid/4270 来源: XF 名称: cauposhop-user-info-CSS(8431) 链接:http://www.iss.net/security_center/static/8431.php 来源: BUGTRAQ 名称: 20020311 CaupoShop: cross-site-scripting bug 链接:http://www.securityfocus.com/archive/1/261218

受影响实体

• Caupo.Net Cauposhop:1.30a  
• Caupo.Net Cauposhop:1.30a  

补丁

暂无