发布日期：2002-11-13
更新日期：2002-11-20

受影响系统：

Rich Media Technologies JustAddCommerce Standard 5.0

描述：

---

BUGTRAQ  ID: 6179

JustAddCommerce是一款适用于Windows操作系统上流行的电子购物系统。

JustAddCommerce没有充分验证在隐藏表单字段提供的信息，远程攻击者可以利用这个漏洞任意更改表单中的价格字段数据。

基于WEB的电子构物系统JustAddCommerce在WEB页面传递价格使用隐藏表单字段，这意味着每次顾客增加物件到购物车的时候，JustAddCommerce会检查包含来自客户端提交的价格HTTP-POST数据，攻击者就可以在发送表单信息给JustAddCommerce系统前本地修改价格数据。

其他表单数据也可能可以更改。

<*来源：whitehat2004 （whitehat2004@yahoo.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103721874932425&w=2
*>

建议：

---

厂商补丁：

Rich Media Technologies
-----------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.richmediatech.com/justaddcommerce/index.asp

浏览次数：2790
严重程度：0（网友投票）