N/A

The CleanseMessage function in shop$db.asp for VP-ASP Shopping Cart 4.0 through 5.0 does not sufficiently cleanse inputs, which allows remote attackers to conduct cross-site scripting (XSS) attacks that do not use <script> tags, as demonstrated via javascript in IMG tags to (1) the cat parameter in shopdisplayproducts.asp or (2) the msg parameter in shoperror.asp, and possibly other vectors.

N/A

N/A

Virtual Programming VP-ASP Shopping Cart Shop$DB.ASP跨站脚本漏洞

Virtual Programming VP-ASP是一款商业性质的电子购物应用系统，由ASP脚本编写。 Virtual Programming VP-ASP的登录脚本对用户提交的输入没有很好的过滤，远程攻击者可以利用这个漏洞进行跨站脚本攻击，获得敏感信息。 问题存在于Shop$DB.ASP脚本上，对用户提交的恶意HTML或Javascript脚本数据缺少过滤，当其他用户查看恶意链接时，恶意代码可在用户浏览器上执行，导致基于COOKIE的信息泄露。

N/A

N/A