情報拡散が不充分っぽいのでお手伝い。

以下転載 -----

こんにちは、田村です。

osCommerce MS1 日本語版 R9 をリリースします

R8 以前のバージョンには、クロスサイトスクリプティングの脆弱性が存在
しますので、その対策をまとめたものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■概要
osCommerce 2.2MS1J にクロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム: osCommerce 2.2MS1J R8 およびそれ以前

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■想定される影響
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■対策方法
下のURLから最新版をダウンロードして、スクリプトを置き換えてください。
http://sourceforge.jp/projects/tep-j/downloads/3606/oscommerce-2.2ms1j-R9.tar.gz/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■R8 からの変更点

変更ファイル:
admin/backup.php
admin/includes/classes/split_page_results.php
catalog/advanced_search.php
catalog/contact_us.php
catalog/tell_a_friend.php
extras/update.php

--
田村敏彦 / 株式会社ビットスコープ
E-mail:tamura @ bitscope.co.jp
http://www.bitscope.co.jp/

----- ここまで

影響するのはosCommerce 2.2MS1J R8から派生している、+mobilealter系、ひょっとしたらZen Cartも。

対策はgeneral.phpのtep_sanitize_string()で、スクリプトの投稿を排除する事でおこなう。