发布日期：2004-02-17
更新日期：2004-02-24

受影响系统：

Ecommerce Corporation Online Store Kit 3.0 Standard
Ecommerce Corporation Online Store Kit 3.0 Pro
Ecommerce Corporation Online Store Kit 3.0 Lite

描述：

---

BUGTRAQ  ID: 9676
CVE(CAN) ID: CVE-2004-0300

Ecommerce Corporation Online Store是一款基于WEB的电子购物系统。

Online Store Kit包含的more.php脚本对用户提交的URI数据缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入和跨站脚本攻击。

more.php脚本对用户提交给'id'参数的数据缺少过滤，攻击者可提交SQL命令，或者恶意脚本代码给这个参数，可造成信息泄露或修改数据库信息。

<*来源：David Sopas Ferreira （iamroot@systemsecure.org）
  
  链接：http://www.systemsecure.org/advisories/ssadvisory16022004.php
*>

建议：

---

厂商补丁：

Ecommerce Corporation
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ecommerce.com/

浏览次数：2766
严重程度：0（网友投票）