Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

xt:Commerce - Cross-Site-Scripting Schwachstelle

23. August 2012

Gjoko Krstic von Zero Science Lab hat auf eine Cross-Site-Scripting (XSS) Schwachstelle im beliebten Online-Shop System xt:Commerce aufmerksam gemacht. Die Lücke wurde in der aktuellen Version VEYTON 4.0.15 gefunden, betroffen sind alle Editionen (Professional/Merchant/Ultimate).

Durch einen Fehler beim Parsen des User-Inputs via POST im Admin-Panel, kann schadhafter Code in der aktuellen Browser-Session ausgeführt werden. Es existiert bereits ein fertiges Sample-File, um diese Schwachstelle auszunutzen.

Es ist generell zu empfehlen, das Admin-Panel eines Content-Management- oder Shop-Systems nicht von außen für jedermann zugänglich zu machen.

Quellen:
cxsecurity
Zero Science Lab

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/8/23 - 15:33:14
Haftungsausschluss / Datenschutzerklärung