Cross-Site-Scripting Attacke gegen Quick.Cart möglich

Über eine Sicherheitslücke in Quick.Cart können Angreifer beliebigen Script- und SQL-Code in die Browsersitzung anderer Benutzer einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 3.1 von Quick.Cart auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die per URL an die Datei „admin.php“ übergeben werden. Durch gezielte Manipulation solcher Eingaben können Angreifer beliebigen Script- und HTML-Code einspeisen und im Kontext einer Browsersitzung anderer Benutzer ausführen. Ein Patch ist bisher nicht bekannt. (vgw)