漏洞信息详情

OXID eShop 跨站脚本漏洞

• CNNVD编号：CNNVD-201403-441
• 危害等级： 中危
  
• CVE编号： CVE-2014-2016
• 漏洞类型： 跨站脚本
• 发布时间： 2014-03-26
• 威胁类型： 远程
• 更新时间： 2014-03-26
• 厂        商： oxid-esales
• 漏洞来源：

漏洞简介

OXID eSales OXID eShop是德国OXID eSales公司的一套电子商务内容管理系统。该系统包括B2C、B2B等模块。

OXID eShop Professional，Community Edition及Enterprise Edition中存在跨站脚本漏洞，该漏洞源于application/controllers/details.php和application/controllers/tag.php脚本中的‘getTag’函数没有充分过滤‘searchtag’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下版本受到影响：Community Edition 4.6.8及之前的版本，4.7.11之前的4.7.x版本，4.8.4之前的4.8.x版本，Enterprise Edition 4.6.8及之前的版本，5.0.11之前的5.0.x版本，5.1.4之前的5.1.x版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wiki.oxidforge.org/Security_bulletins/2014-001

参考网址

来源: wiki.oxidforge.org

链接:http://wiki.oxidforge.org/Security_bulletins/2014-001

来源: SECUNIA

名称: 57438

链接:http://secunia.com/advisories/57438

受影响实体

• Oxid-Esales Eshop:4.8.3:~~Professional~~~  
• Oxid-Esales Eshop:4.8.2:~~Professional~~~  
• Oxid-Esales Eshop:4.8.1:~~Professional~~~  
• Oxid-Esales Eshop:4.8.0:~~Professional~~~  
• Oxid-Esales Eshop:4.7.10:~~Professional~~~  

补丁

• OXID_ESHOP_CE_4.8.4
• OXID_ESHOP_CE_4.7.11