23.08.2012 15:33
xt:Commerce - Cross-Site-Scripting Schwachstelle
Gjoko Krstic von Zero Science Lab hat auf eine Cross-Site-Scripting (XSS) Schwachstelle im beliebten Online-Shop System xt:Commerce aufmerksam gemacht. Die Lücke wurde in der aktuellen Version VEYTON 4.0.15 gefunden, betroffen sind alle Editionen (Professional/Merchant/Ultimate).Durch einen Fehler beim Parsen des User-Inputs via POST im Admin-Panel, kann schadhafter Code in der aktuellen Browser-Session ausgeführt werden. Es existiert bereits ein fertiges Sample-File, um diese Schwachstelle auszunutzen.Es ist generell zu empfehlen, das Admin-Panel eines Content-Management- oder Shop-Systems nicht von außen für jedermann zugänglich zu machen.Quellen:
cxsecurity
Zero Science LabAutor:
cxsecurity
Zero Science LabAutor: