VULHUB ™

osCMax是一套基于PHP的开源电子商务系统/购物车应用程序，它支持多语言、SSL安全交易、多种支付方式、地区运费换算、打印发票等。 osCMax 2.5.1之前版本的管理面板中存在跨站脚本漏洞，该漏洞源于admin/login.php脚本没有充分过滤‘username’参数；admin/new_attributes_include.php脚本没有充分过滤‘pageTitle’、‘current_product_id’和‘cPath’参数；admin/htaccess.php脚本没有充分过滤多个参数（sb_id，sb_key，gc_id，gc_key，path）；admin/information_form.php脚本没有充分过滤‘title’参数；admin/xsell.php脚本没有充分过滤‘search’参数；admin/stats_products_purchased.php脚本没有充分过滤‘gross’和‘max’参数；admin/stats_monthly_sales.php脚本没有充分过滤‘status’参数；admin/stats_customers.php脚本没有充分过滤‘sorted’参数；/admin/information_manager.php脚本没有充分过滤‘information_id’参数；/admin/geo_zones.php脚本没有充分过滤‘zID’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

osCMax是一套基于PHP的开源电子商务系统/购物车应用程序，它支持多语言、SSL安全交易、多种支付方式、地区运费换算、打印发票等。 osCMax 2.5.1之前版本的管理面板中存在跨站脚本漏洞，该漏洞源于admin/login.php脚本没有充分过滤‘username’参数；admin/new_attributes_include.php脚本没有充分过滤‘pageTitle’、‘current_product_id’和‘cPath’参数；admin/htaccess.php脚本没有充分过滤多个参数（sb_id，sb_key，gc_id，gc_key，path）；admin/information_form.php脚本没有充分过滤‘title’参数；admin/xsell.php脚本没有充分过滤‘search’参数；admin/stats_products_purchased.php脚本没有充分过滤‘gross’和‘max’参数；admin/stats_monthly_sales.php脚本没有充分过滤‘status’参数；admin/stats_customers.php脚本没有充分过滤‘sorted’参数；/admin/information_manager.php脚本没有充分过滤‘information_id’参数；/admin/geo_zones.php脚本没有充分过滤‘zID’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。