VULHUB ™

Magento 1.2.0版本和1.2.1.1版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助(1)对index.php的一个admin/ request中的用户字段,该字段可能与login[username]参数以及app/code/core/Mage/Admin/Model/Session.php登陆函数相关;(2)对index.php的一个admin/index/forgotpassword/ 请求中的电子邮件地址字段，该字段可能与电子邮件参数和app/code/core/Mage/Adminhtml/controllers/IndexController.php forgotpasswordAction函数相关;或(3)在downloader/下的对默认URI的回归参数，注入任意web脚本或HTML。

Magento 1.2.0版本和1.2.1.1版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助(1)对index.php的一个admin/ request中的用户字段,该字段可能与login[username]参数以及app/code/core/Mage/Admin/Model/Session.php登陆函数相关;(2)对index.php的一个admin/index/forgotpassword/ 请求中的电子邮件地址字段，该字段可能与电子邮件参数和app/code/core/Mage/Adminhtml/controllers/IndexController.php forgotpasswordAction函数相关;或(3)在downloader/下的对默认URI的回归参数，注入任意web脚本或HTML。