漏洞信息详情
CaupoShop用户信息跨站脚本执行漏洞
- CNNVD编号:CNNVD-200207-117
- 危害等级: 高危
- CVE编号: CVE-2002-0439
- 漏洞类型: 输入验证
- 发布时间: 2002-03-11
- 威胁类型: 远程
- 更新时间: 2006-12-27
- 厂 商: caupo.net
- 漏洞来源: ppp-design※ securi...
漏洞简介
CaupoShop是一款基于WEB的电子购物系统,由PHP实现,使用在Linux,windows或者其他Unix系统平台上。 CaupoShop对在用户信息域中的输入过滤上存在漏洞,可导致远程攻击者利用用户信息域插入Javascript代码对其他浏览用户进行跨站脚本执行攻击。 当注册一个新的客户时,CaupoShop对用户信息域的输入没有进行过滤,攻击者可以插入恶意脚本代码,当管理员在管理域中查看客户列表的时候导致脚本代码被执行,可导致泄露用户信息,改变用户密码或者帖子等问题。 其他早期版本也应该存在此漏洞,不过没有被证实。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在浏览器设置中禁止java脚本执行可以在一定程度上减少这种漏洞造成的危害。 厂商补丁: Caupo.net --------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Caupo.net Upgrade CaupoShop-Classic-130-rc4.zip
http://www.caupo.com/soft/download/CaupoShop-Classic-130-rc4.zip
参考网址
来源: BID 名称: 4270 链接:http://www.securityfocus.com/bid/4270 来源: XF 名称: cauposhop-user-info-CSS(8431) 链接:http://www.iss.net/security_center/static/8431.php 来源: BUGTRAQ 名称: 20020311 CaupoShop: cross-site-scripting bug 链接:http://www.securityfocus.com/archive/1/261218
受影响实体
- Caupo.Net Cauposhop:1.30a
- Caupo.Net Cauposhop:1.30a
补丁
暂无
评论