xt:Commerce 多个跨站请求伪造漏洞 CVE-2011-5011 CNNVD-201112-451

6.8 AV AC AU C I A
发布: 2011-12-25
修订: 2024-03-19

xt:Commerce是基于电子商务引擎的网络购物系统。 xt:Commerce 3.0.4 SP2.1以及可能的早期版本中存在多个跨站请求伪造漏洞。远程攻击者可 (1)借助admin/customers.php中的作用于statusconfirm的cID参数设置新的用户以及(2)借助admin/accounting.php中作用于save的cID参数授予用户权限,劫持Amins认证请求。

0%
暂无可用Exp或PoC
当前有2条受影响产品信息