| CVE ID | CVE-2024-3579 |
| Data publikacji | 14 maja 2024 |
| Producent podatnego oprogramowania | Puneeth Reddy |
| Nazwa podatnego oprogramowania | Online Shopping System Advanced |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Online Shopping System Advanced podatność typu Reflected Cross-Site Scripting (XSS). Atakujący może nakłonić użytkownika do użycia spreparowanego linku w celu wykonania skryptu w przeglądarce tego użytkownika. Podatności nadano identyfikator CVE-2024-3579.
Autor projektu nie odpowiadał na nasze wiadomości. Choć testowana była jedynie najnowsza wersja oprogramowania, należy jednak przyjąć, że wszystkie są podatne.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.