Lỗi cross-site scripting trong FreznoShop search.php

David Sopas Ferreira vừa thông báo 1 lỗi tồn tại trong FreznoShop,cho phép hacker khai thác và tấn công qua lỗi cross-sitescripting.

Tính nguy hiểm:Ít nguy hiểm
Tác động: Cross Site Scripting
Vị trí: Từ remote
Phần mềm:FreznoShop 1.x

Miêu tả:
----------------
Nguyên nhân gây ra lỗi này là do yêu cầu đưa vào tham số "search" trong "search.php" không đủ hợp lệ.Điều này cho phép khai thác bằng các mã HTML hoặc script code tùy ý và sẽ được thực thi trên trình duyệt của người dùng khi họ xem.

Ví dụ:

http://[sitebịlỗi]/shop/search.php?search=<script>alert(document.domain);</script>

lỗi này được thông báo trong version 1.3.0 RC1.Các version tới cũng có thể dính lỗi này.

Giải pháp:
--------------

Update version 1.3.0 RC2.
tại :https://sourceforge.net/project/showfiles.php?group_id=86090