漏洞关键信息 漏洞名称: Isshue Shopping Cart v3.5 - Cross Site Web Vulnerability 漏洞类型: 跨站脚本攻击 - 持久性(Cross Site Scripting - Persistent) 漏洞ID: 2284 披露日期: 2021-10-21 受影响的产品 产品: Isshue Shopping Cart v3.5 - eCommerce (Web-Application) 漏洞检测时间线 2021-08-23: 研究员通知和协调(安全研究员) 2021-08-24: 供应商通知(安全部门) 2021-::: 供应商回复/反馈(安全部门) 2021-::: 供应商修复/补丁(服务开发团队) 2021-::: 安全致谢(安全部门) 2021-10-22: 公开披露(漏洞实验室) 漏洞描述 该漏洞允许远程攻击者使用具有持久性攻击向量的恶意脚本代码篡改浏览器对应用程序的Web应用程序请求。 影响的模块: 模块中的标题输入字段。 漏洞存在于标题输入参数中,并允许注入持久性的恶意脚本代码。 注入的代码可以执行会话劫持、持续的网络钓鱼攻击、持续的外部重定向到恶意源、以及对受影响应用程序模块的持续操控。 威胁程度 利用技术: 远程 威胁级别: 中等 漏洞参数 易受攻击的模块: 股票、客户、发票 易受攻击的输入参数: 标题 访问控制 身份验证类型: 有限的认证(版主权限) 用户交互需求: 中等用户交互 披露类型 披露类型: 负责任的披露