发布日期：2002-12-02
更新日期：2002-12-06

受影响系统：

ShopFactory ShopFactory 5.8
ShopFactory ShopFactory 5.6
ShopFactory ShopFactory 5.5

描述：

---

ShopFactory是一款在线电子购物系统。

ShopFactory对Cookie数据缺少正确检查，远程攻击者可以利用这个漏洞修改购物车物品价格。

ShopFactory一般包所有购物车内容存放在用户浏览器的Cookie中，包括产品ID，描述和价格等，在结帐的时候将引用这些信息。但是如果购物时用户设置的"Remember Shopping cart for (days)"值为0，Cookie信息就不会被程序建立，但是ShopFactory仍旧会去读取用户系统中的Cookie，这样攻击者可以构建自己任意更改的Cookie信息，如价格，提交给系统使用。

<*来源：Richard van den Berg （richard@trust-factory.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103886568925173&w=2
*>

建议：

---

厂商补丁：

ShopFactory
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.shopfactory.com/

浏览次数：3306
严重程度：0（网友投票）