xt:Commerce是基于电子商务引擎的网络购物系统。 xt:Commerce 3.0.4 SP2.1以及可能的早期版本中存在多个跨站请求伪造漏洞。远程攻击者可 (1)借助admin/customers.php中的作用于statusconfirm的cID参数设置新的用户以及(2)借助admin/accounting.php中作用于save的cID参数授予用户权限,劫持Amins认证请求。
xt:Commerce是基于电子商务引擎的网络购物系统。 xt:Commerce 3.0.4 SP2.1以及可能的早期版本中存在多个跨站请求伪造漏洞。远程攻击者可 (1)借助admin/customers.php中的作用于statusconfirm的cID参数设置新的用户以及(2)借助admin/accounting.php中作用于save的cID参数授予用户权限,劫持Amins认证请求。