VULHUB ™

CactuShop是一款基于ASP的电子商务系统。 CactuShop不充分过滤用户提交的URI参数，远程攻击者可以利用这个漏洞进行SQL注入攻击，可获得敏感信息或更改数据库。 \'\'mailorder.asp\'\'和\'\'payonline.asp\'\'脚本对用户提供给\'\'strItems\'\'参数的数据，在用户SQL查询时缺少充分过滤，提交包含恶意SQL命令数据给\'\'strItems\'\'参数，可更改原有数据库逻辑，获得敏感信息或更改数据库。 另外\'\'largeimage.asp\'\'脚本存在跨站脚本执行问题，可获得用户会话ID及访问用户个人数据。

CactuShop是一款基于ASP的电子商务系统。 CactuShop不充分过滤用户提交的URI参数，远程攻击者可以利用这个漏洞进行SQL注入攻击，可获得敏感信息或更改数据库。 \'\'mailorder.asp\'\'和\'\'payonline.asp\'\'脚本对用户提供给\'\'strItems\'\'参数的数据，在用户SQL查询时缺少充分过滤，提交包含恶意SQL命令数据给\'\'strItems\'\'参数，可更改原有数据库逻辑，获得敏感信息或更改数据库。 另外\'\'largeimage.asp\'\'脚本存在跨站脚本执行问题，可获得用户会话ID及访问用户个人数据。