CVE-2023-6296

MITJÀ: (6,4)

CVSS3:  6,2

osCommerce és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada subministrada per l’usuari per part del punt final /catalog/compare. Un atacant autenticat remot podria explotar aquesta vulnerabilitat mitjançant el paràmetre de comparació per injectar un script maliciós a una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació mitjançant galetes de la víctima.

Sistemes Afectats

• osCommerce 4.12.56860

Remediació
No hi ha cap recurs des del 27 de novembre de 2023.

Referències

• osCommerce
• osCommerce 4 Cross Site Scripting
• A vulnerability was found in osCommerce 4. It has been rated as problematic.