Podatność CVE-2011-5011


Publikacja: 2011-12-24   Modyfikacja: 2012-02-13

Opis:
Multiple cross-site request forgery (CSRF) vulnerabilities in xt:Commerce 3.0.4 SP2.1 and possibly earlier allow remote attackers to hijack the authentication of Admins for requests that (1) set a New user to Admin via the cID parameter to a statusconfirm action in admin/customers.php and (2) grant permissions to users via the cID parameter to a save action in admin/accounting.php.

Typ:

CWE-352

(Cross-Site Request Forgery (CSRF))

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.8/10
6.4/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Xt-commerce -> XT 

 Referencje:
http://xforce.iss.net/xforce/xfdb/71642
http://secunia.com/advisories/47032
http://osvdb.org/77498
http://dishix.blogspot.com/p/xtcommerce-v304-sp21-cross-site-request_29.html
http://dishix.blogspot.com/2011/11/exploiting-xtcommerce-v304-sp21-cross.html

Copyright 2024, cxsecurity.com

 

Back to Top