PT-2024-17854 · Beijing Longda Jushang Technology · Dbshop市场系统
Jiashenghe
·
Publicado
2024-12-27
·
Atualizado
2024-12-28
·
CVE-2024-12991
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Beijing Longda Jushang Technology DBShop商城系统 versão 3.3 Release 231225
Descrição
Uma vulnerabilidade de cross-site scripting afeta o arquivo /home-order, onde a manipulação do argumento
orderStatus com uma entrada específica leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.Recomendações
Para o Beijing Longda Jushang Technology DBShop商城系统 versão 3.3 Release 231225, considere implementar a validação de entrada para o parâmetro
orderStatus no arquivo /home-order como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo /home-order para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XSS
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dbshop市场系统