COWS CGI Online Worldweb Shopping存在跨站脚本可执行漏洞

发布时间：2002-01-24
更新时间：2002-01-24
严重程度：中
威胁程度：服务器信息泄露
错误类型：输入验证错误
利用方式：服务器模式

BUGTRAQ ID：3921

受影响系统

COWS CGI Online Worldweb Shopping 1.1
   - Apache Group Apache 1.3.17
   - Apache Group Apache 1.3.17win32
   - Apache Group Apache 1.3.18
   - Apache Group Apache 1.3.18win32
   - Apache Group Apache 1.3.19
   - Apache Group Apache 1.3.19win32
   - Apache Group Apache 1.3.20win32
   - Apache Group Apache 1.3.22
   - Microsoft IIS 4.0
   - Microsoft IIS 5.0

详细描述
COWS CGI Online Worldweb Shopping 是一款由PERL编写的电子购物系统，
运行在多种操作系统之上。

COWS存在跨站脚本可执行漏洞。

攻击者可以利用这个漏洞通过建立包含恶意脚本代码的连接，让目标用户点击就
可以导致恶意脚本代码在用户系统上执行。其中diagnose.cgi和compatible.cgi
被发现存在此漏洞。

可以导致如COOKIE信息被泄露等问题。

测试代码
/diagnose.cgi?<script>MALICIOUS SCRIPT</script>
/compatible.cgi?<script>MALICIOUS SCRIPT</script>

解决方案
尚无

相关信息
frog <leseulfrog@hotmail.com>.
参考：http://www.bal-team.t2u.com/Tuts/Cows.txt
相关主页：http://www.cows.co.uk/

最近严重漏洞

COWS CGI Online Worldweb Shopping存在跨站脚本可执行漏洞