xt:Commerce 3.04 XTCsid Parameter... CVE-2008-6045 CNNVD-200902-034

6.8 AV AC AU C I A
发布: 2009-02-03
修订: 2024-03-19

xt:Commerce是基于电子商务引擎的网络购物系统。 xt:Commerce的advanced_search_result.php文件中没有正确地过滤对keywords参数所提交的输入便返回给了用户,XTCsid参数可以被设置为任意的值,这样攻击者就可以在用户登录到目标服务器之前便固定会话ID,在用户登录后使用预定义的会话ID值假设他们的在线身份。

0%

漏洞利用/PoC

当前有2条漏洞利用/PoC

受影响的平台与产品

当前有1条受影响产品信息