Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 4 |
CVSSv2 рейтинг: | (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7 |
CVE ID: | CVE-2013-2312 CVE-2013-2313 CVE-2013-2314 CVE-2013-2315 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг Раскрытие важных данных Внедрение в сессию пользователя Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | EC-CUBE 2.x |
Уязвимые версии: EC-CUBE 2.11.0, возможно другие версии.
Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.
1. Уязвимость существует из-за недостаточной обработки входных данных, связанных с shopping cart. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может проникнуть в сессию другого пользователя.
3. Уязвимость существует из-за того, что приложение неправильно ограничивает доступ к management screen. Удаленный пользователь может обойти механизм авторизации в management screen.
4. Уязвимость существует из-за ошибки, связанной с функционалом напоминания пароля. Удаленный пользователь может получить доступ к потенциально важной информации.
URL производителя: http://www.ec-cube.net/
Решение: Установите обновление до версии 2.12.3 с сайта производителя.
Ссылки:
http://www.ec-cube.net/info/weakness/weakness.php?id=40
http://www.ec-cube.net/info/weakness/weakness.php?id=42
http://www.ec-cube.net/info/weakness/weakness.php?id=43
http://jvn.jp/en/jp/JVN00985872/index.html
http://jvn.jp/en/jp/JVN39699406/index.html
http://jvn.jp/en/jp/JVN45306814/index.html
http://jvn.jp/en/jp/JVN52552792/index.html
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000041.html
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000042.html
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000043.html
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000044.html
http://jvn.jp/jp/JVN00985872/index.html
http://jvn.jp/jp/JVN39699406/index.html
http://jvn.jp/jp/JVN45306814/index.html
http://jvn.jp/jp/JVN52552792/index.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000041.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000042.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000043.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000044.html