Injecció indirecta de scripts a SourceCodester Cosmetics and Beauty Product Online Store
18/04/2024
CVE-2024-31649
MITJÀ: (6,4)
CVSS3: 6,2
La botiga en línia de productes de bellesa i cosmètics de SourceCodester és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant autenticat remot podria explotar aquesta vulnerabilitat mitjançant el paràmetre Nom del producte en un URL especialment dissenyat per executar un script en un navegador web de víctimes dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de les víctimes.
Sistemes Afectats
- SourceCodester Cosmetics and Beauty Product Online Store 1.0
Remediació
No hi ha cap recurs disponible a partir del 15 d’abril del 2024.
Referències
- Stored Cross-Site Scripting Vulnerability in SourceCodester Cosmetics and Beauty Product Online Store – 1.0
- Cosmetics and Beauty Product Online Store in PHP
- A cross-site scripting (XSS) in Cosmetics and Beauty Product Online Store v1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Product Name parameter.
