osCommerce sérülékenység


2012. szeptember 19. 14:46

CH azonosító

CH-7598

Angol cím

osCommerce Website Payments Standard Module Merchant Email Address Security Bypass

Felfedezés dátuma

2012.09.18.

Súlyosság

Alacsony

Érintett rendszerek

PayPal Website Payments Standard module
osCommerce

Érintett verziók

osCommerce 2.x

Összefoglaló

Az osCommerce egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági intézkedéseket.

Leírás

A kereskedő PayPal email címének átadott bemeneti adat nem megfelelően van ellenőrizve a PayPal tranzakció kezdeményezése előtt, amit kihasználva módosítani lehet a kereskedő email címét, ezáltal pedig a tranzakció kezdeményezettjét.

A sérülékenység sikeres kihasználásához szükséges, hogy a PayPal Website Payments Standard bővítmény engedélyezve legyen, a PayPal tranzakció használja a bővítményt, és az “Encrypted Web Payments” bővítmény konfigurációja ki legyen kapcsolva (alapértelmezés szerint ki van kapcsolva).

A sérülékenységet a PayPal Website Payments Standard bővítmény 1.0 kiadását használó osCommerce 2.3.1 verziójában jelentették.

Megoldás

Ismeretlen

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

US-CERT 459446
CVE-2012-2991 - NVD CVE-2012-2991
SECUNIA 50640

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-62215 – Windows Kernel Elevation of Privilege sérülékenysége
CVE-2025-12058 – Keras sérülékenysége
CVE-2025-64459 – Django SQL injection sérülékenység
CVE-2025-64458 – Django szolgáltatás megtagadás sérülékenység
CVE-2025-20354 – Cisco Unified Contact Center Express sérülékenysége
CVE-2025-20358 – Cisco Unified Contact Center Express sérülékenysége
CVE-2025-48703 – CWP Control Web Panel OS Command Injection sérülékenysége
CVE-2025-5947 – WordPress Service Finder plugin sérülékenysége
CVE-2025-11533 – WordPress Freeio plugin sérülékenysége
Tovább a sérülékenységekhez »