osCommerce sérülékenység


2012. szeptember 19. 14:46

CH azonosító

CH-7598

Angol cím

osCommerce Website Payments Standard Module Merchant Email Address Security Bypass

Felfedezés dátuma

2012.09.18.

Súlyosság

Alacsony

Érintett rendszerek

PayPal Website Payments Standard module
osCommerce

Érintett verziók

osCommerce 2.x

Összefoglaló

Az osCommerce egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági intézkedéseket.

Leírás

A kereskedő PayPal email címének átadott bemeneti adat nem megfelelően van ellenőrizve a PayPal tranzakció kezdeményezése előtt, amit kihasználva módosítani lehet a kereskedő email címét, ezáltal pedig a tranzakció kezdeményezettjét.

A sérülékenység sikeres kihasználásához szükséges, hogy a PayPal Website Payments Standard bővítmény engedélyezve legyen, a PayPal tranzakció használja a bővítményt, és az “Encrypted Web Payments” bővítmény konfigurációja ki legyen kapcsolva (alapértelmezés szerint ki van kapcsolva).

A sérülékenységet a PayPal Website Payments Standard bővítmény 1.0 kiadását használó osCommerce 2.3.1 verziójában jelentették.

Megoldás

Ismeretlen

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

US-CERT 459446
CVE-2012-2991 - NVD CVE-2012-2991
SECUNIA 50640

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6554 – Google Chromium V8 sérülékenysége
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
Tovább a sérülékenységekhez »