Vulnerabilidad en CVE-2014-4965 (CVE-2014-4965)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/07/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de XSS en Shopizer 1.1.5 y versiones anteriores permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro (1) customername en central/orders/searchcriteria.action; (2) productname, (3) availability o (4) status en central/catalog/productlist.action; o vectores no especificados en (5) WebContent/orders/orderlist.jsp.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:shopizer:shopizer:*:*:*:*:*:*:*:* | 1.1.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://seclists.org/fulldisclosure/2014/Jul/38
- http://www.securityfocus.com/archive/1/532726/100/0/threaded
- https://exchange.xforce.ibmcloud.com/vulnerabilities/94465
- http://seclists.org/fulldisclosure/2014/Jul/38
- http://www.securityfocus.com/archive/1/532726/100/0/threaded
- https://exchange.xforce.ibmcloud.com/vulnerabilities/94465