osCommerce sérülékenység

CH azonosító

CH-7598

Angol cím

osCommerce Website Payments Standard Module Merchant Email Address Security Bypass

Felfedezés dátuma

2012.09.18.

Súlyosság

Alacsony

Érintett rendszerek

PayPal Website Payments Standard module
osCommerce

Érintett verziók

osCommerce 2.x

Összefoglaló

Az osCommerce egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági intézkedéseket.

Leírás

A kereskedő PayPal email címének átadott bemeneti adat nem megfelelően van ellenőrizve a PayPal tranzakció kezdeményezése előtt, amit kihasználva módosítani lehet a kereskedő email címét, ezáltal pedig a tranzakció kezdeményezettjét.

A sérülékenység sikeres kihasználásához szükséges, hogy a PayPal Website Payments Standard bővítmény engedélyezve legyen, a PayPal tranzakció használja a bővítményt, és az “Encrypted Web Payments” bővítmény konfigurációja ki legyen kapcsolva (alapértelmezés szerint ki van kapcsolva).

A sérülékenységet a PayPal Website Payments Standard bővítmény 1.0 kiadását használó osCommerce 2.3.1 verziójában jelentették.

Megoldás

Ismeretlen

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »