| タイトル | TornadoStore におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | TornadoStore には、クロスサイトスクリプティングの脆弱性が存在します。 |
| 想定される影響 | 第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) Services セクションの login_registrese.php3 への tipo パラメータ (2) Services セクションの login_registrese.php3 への destino パラメータ (3) Products セクションの precios.php3 への rubro パラメータ (4) Products セクションの recomenda_articulo.php3 への arti パラメータ (5) e-Commerce セクションの control/abm_det.php3 への profile アクションの descrip パラメータ (6) e-Commerce セクションの control/abm_list.php3 への delivery_courier アクションの tit パラメータ (7) e-Commerce セクションの control/abm_det.php3 への usuario アクションの tit パラメータ |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2010年7月6日0:00 |
| 登録日 | 2012年12月20日19:29 |
| 最終更新日 | 2012年12月20日19:29 |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| tornadostore |
| tornadostore 1.4.3 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | Multiple cross-site scripting (XSS) vulnerabilities in TornadoStore 1.4.3 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) tipo or (2) destino parameter to login_registrese.php3 in the Services section, (3) the rubro parameter to precios.php3 in the Products section, (4) the arti parameter to recomenda_articulo.php3 in the Products section, (5) the descrip parameter in a profile action to control/abm_det.php3 in the e-Commerce section, (6) the tit parameter in a delivery_courier action to control/abm_list.php3 in the e-Commerce section, or (7) the tit parameter in an usuario action to control/abm_det.php3 in the e-Commerce section. |
|---|---|
| 公表日 | 2010年7月7日2:17 |
| 登録日 | 2021年1月29日10:59 |
| 最終更新日 | 2024年11月21日10:14 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:tornadostore:tornadostore:*:*:*:*:*:*:*:* | 1.4.3 | ||||