CaupoShop用户信息跨站脚本执行漏洞

漏洞信息详情

CaupoShop用户信息跨站脚本执行漏洞

• CNNVD编号：CNNVD-200207-117
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0439
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-03-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-12-27
  
• 厂        商：
  
  caupo.net
• 漏洞来源：
  ppp-design※ securi…

CaupoShop是一款基于WEB的电子购物系统，由PHP实现，使用在Linux，windows或者其他Unix系统平台上。
CaupoShop对在用户信息域中的输入过滤上存在漏洞，可导致远程攻击者利用用户信息域插入Javascript代码对其他浏览用户进行跨站脚本执行攻击。
当注册一个新的客户时，CaupoShop对用户信息域的输入没有进行过滤，攻击者可以插入恶意脚本代码，当管理员在管理域中查看客户列表的时候导致脚本代码被执行，可导致泄露用户信息，改变用户密码或者帖子等问题。
其他早期版本也应该存在此漏洞，不过没有被证实。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在浏览器设置中禁止java脚本执行可以在一定程度上减少这种漏洞造成的危害。
厂商补丁：
Caupo.net
———
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Caupo.net Upgrade CaupoShop-Classic-130-rc4.zip

http://www.caupo.com/soft/download/CaupoShop-Classic-130-rc4.zip” target=”_blank”>
http://www.caupo.com/soft/download/CaupoShop-Classic-130-rc4.zip

来源: BID
名称: 4270
链接:http://www.securityfocus.com/bid/4270

来源: XF
名称: cauposhop-user-info-css(8431)
链接:http://www.iss.net/security_center/static/8431.php

来源: BUGTRAQ
名称: 20020311 CaupoShop: cross-site-scripting bug
链接:http://www.securityfocus.com/archive/1/261218