BDU:2025-10516

Опубликовано: 02 июн. 2025

Источник: fstec

CVSS3: 6.3

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость программного обеспечения для электронной коммерции CE Phoenix (CE PhoenixCart) связана с использованием cookie для хранения конфиденциальной информации без флага HttpOnly. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовый скриптинг

Вендор

Phoenix Technologies Inc.

Наименование ПО

CE Phoenix

Версия ПО

от 1.0.9.9 до 1.1.0.3 (CE Phoenix)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/CE-PhoenixCart/PhoenixCart/security/advisories/GHSA-98qq-m8qj-vvgj

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-47289
CVE

EPSS

Процентиль: 7%

0.00028

Низкий

6.3 Medium

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2025-47289

CVSS3: 6.3

nvd

8 месяцев назад

CE Phoenix is a free, open-source eCommerce platform. A stored cross-site scripting (XSS) vulnerability was discovered in CE Phoenix versions 1.0.9.9 through 1.1.0.2 where an attacker can inject malicious JavaScript into the testimonial description field. Once submitted, if the shop owner (admin) approves the testimonial, the script executes in the context of any user visiting the testimonial page. Because the session cookies are not marked with the `HttpOnly` flag, they can be exfiltrated by the attacker — potentially leading to account takeover. Version 1.1.0.3 fixes the issue.

EPSS

Процентиль: 7%

0.00028

Низкий

6.3 Medium

CVSS3

7.5 High

CVSS2