Összefoglaló
A CubeCart olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site kérés hamisításos támadásokat tudnak végrehajtani.
Leírás
Az alkalmazás megengedi a felhasználóknak bizonyos tevékenységek elvégzését HTTP kérések segítségével anélkül, hogy megfelelően ellenőrizné a kérések érvényességét. Ez kihasználható új admin felhasználók hozzáadására, amennyiben egy bejelentkezett admin felhasználót sikerül rávenni egy speciálisan erre a célra elkészített weboldal meglátogatására.
A sérülékenység a 3.0.4-es és 4.4.3-as verzióban található, egyéb verziók is érintettek lehetnek.
Megoldás
Kizárólag megbízható weboldalakat látogasson meg, ha be van jelentkezve az alkalmazásba.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 42728
Egyéb referencia: www.exploit-db.com
