Межсайтовый скриптинг в E-Store Kit-2 PayPal Edition

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует из-за недостаточной фильтрации данных в параметре main сценария 'catalog.php' и параметре 'txn_id' сценария 'downloadform.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/demo/ms-pe02/catalog.php?cid=0&sid=
'%22&sortfield=title&sortorder=ASC&pagenumber=1
& main=http://whatismyip.com&menu=http://whatismyip.com

http://[target]/demo/ms-pe02/downloadform.php?txn_id=">
& lt;scr ipt>alert(document.cookie)</script>

URL производителя: www.magicscripts.com

Решение: Способов устранения уязвимости не существует в настоящее время.