Katyshop2 2.11中的多个存储型跨站脚本(XSS)漏洞

时间:2020-5-13 分享到:
厂商 Katyshop2 2.11中的多个存储型跨站脚本(XSS)漏洞
产品 Katyshop2
受影响的版本 2.11及之前版本
测试版本 2.11
厂商通知日期 2020-05-04
预警公告日期 2020-05-04【无技术细节】
厂商确认日期
厂商修复日期
公开披露日期
最新修正日期 2020-05-04
CVE ID CVE-2020-12683
产品描述 Katyshop2是一款小型企业的电子商务应用程序;用PHP和MySQL编写。主要内容包括:产品列表、类别、用户登录名、人员和公司、联系页面、订单。
发现者 CarlosRamírezL,  安全研究员和渗透测试人员@wizlynx group

 

漏洞描述


    存储型跨站脚本(XSS)漏洞
    严重程度:     CVSS 分数: 5.4     CWE-ID: CWE-79     状态: 未修复
    漏洞详情
    在设备上运行Katyshop2的Web应用程序受到多个存储的跨站点脚本(XSS)漏洞的影响,该漏洞可能影响2.11以及之前的版本。这些漏洞可能允许已验证身份的恶意攻击者针对正在访问受影响应用程序的基于Web管理界面的其他用户执行存储的跨站点脚本(XSS)攻击。该漏洞是由于受影响设备的基于Web管理界面对用户提供的输入验证不足而产生的,攻击者可以利用此漏洞来引导用户点击设计好的链接或浏览受影响的页面。成功利用此漏洞可使攻击者在接口环境中执行任意脚本代码,或允许攻击者访问基于浏览器的敏感信息。
    CVSS基准分
    攻击媒介     网络     范围     变化
    攻击复杂度     低     保密性影响     低
    所需特权     低     一致性影响     低
    用户互动     需要     可用性影响     无

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节

 

版权所有:https://www.wizlynxgroup.cn 转载请注明出处