Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Online Shopping System Advanced
14 maja 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-3579
Data publikacji 14 maja 2024
Producent podatnego oprogramowania Puneeth Reddy
Nazwa podatnego oprogramowania Online Shopping System Advanced
Podatne wersje Wszystkie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Online Shopping System Advanced podatność typu Reflected Cross-Site Scripting (XSS). Atakujący może nakłonić użytkownika do użycia spreparowanego linku w celu wykonania skryptu w przeglądarce tego użytkownika. Podatności nadano identyfikator CVE-2024-3579.

Autor projektu nie odpowiadał na nasze wiadomości. Choć testowana była jedynie najnowsza wersja oprogramowania, należy jednak przyjąć, że wszystkie są podatne.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.