CVE-2018-25114 in Online Merchantinfo

Zusammenfassung

von VulDB • 16.05.2026

In osCommerce Online Merchant Version 2.3.4.1 besteht eine Remote-Code-Ausführungs-Schwachstelle aufgrund einer unsicheren Standardkonfiguration und fehlender Authentifizierung im Installationsworkflow. Standardmäßig bleibt das Verzeichnis /install/ nach der Installation zugänglich. Ein nicht authentifizierter Angreifer kann install_4.php aufrufen, manipulierte POST-Daten übermitteln und beliebigen PHP-Code in die Datei configure.php injizieren. Wenn die Anwendung diese Datei später einbindet, wird das injizierte Payload ausgeführt, was zu einer vollständigen Kompromittierung des Servers führt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

VulnCheck

Reservieren

22.07.2025

Veröffentlichung

23.07.2025

Moderieren

akzeptiert

Eintrag

VDB-317424

CPE

bereit

Exploit

Download

EPSS

0.02820

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!