发布日期：2002-03-11
更新日期：2002-03-11

受影响系统：

Caupo.net CaupoShop 1.30rc4
Caupo.net CaupoShop 1.30a

描述：

---

BUGTRAQ  ID: 4270
CVE(CAN) ID: CVE-2002-0439

CaupoShop是一款基于WEB的电子购物系统，由PHP实现，使用在Linux,windows或者其他Unix系统平台上。

CaupoShop对在用户信息域中的输入过滤上存在漏洞，可导致远程攻击者利用用户信息域插入Javascript代码对其他浏览用户进行跨站脚本执行攻击。

当注册一个新的客户时，CaupoShop对用户信息域的输入没有进行过滤，攻击者可以插入恶意脚本代码，当管理员在管理域中查看客户列表的时候导致脚本代码被执行，可导致泄露用户信息，改变用户密码或者帖子等问题。

其他早期版本也应该存在此漏洞，不过没有被证实。

<*来源：ppp-design （security@ppp-design.de）
  
  链接：http://www.ppp-design.de/advisories_show.php?adv=cauposhop__cross-site-scripting_bug.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在浏览器设置中禁止java脚本执行可以在一定程度上减少这种漏洞造成的危害。

厂商补丁：

Caupo.net
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Caupo.net Upgrade CaupoShop-Classic-130-rc4.zip
http://www.caupo.com/soft/download/CaupoShop-Classic-130-rc4.zip

浏览次数：2962
严重程度：0（网友投票）