Injecció indirecta de scripts a SourceCodester Cosmetics and Beauty Product Online Store
18/04/2024
CVE-2024-31651
MITJÀ: (6,4)
CVSS3: 6,2
La botiga en línia de productes de bellesa i cosmètics de SourceCodester és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant autenticat remot podria explotar aquesta vulnerabilitat mitjançant el paràmetre Nom en un URL especialment dissenyat per executar un script en un navegador web de víctimes dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de les víctimes.
Sistemes Afectats
- SourceCodester Cosmetics and Beauty Product Online Store 1.0
Remediació
No hi ha cap recurs disponible a partir del 15 d’abril del 2024.
Referències
- Stored Cross-Site Scripting Vulnerability in SourceCodester Cosmetics and Beauty Product Online Store – 1.0
- Online Mobile Store Management System using PHP Free Source Code
- A cross-site scripting (XSS) in Cosmetics and Beauty Product Online Store v1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the First Name parameter.
