CVE-2018-25114 in Online Merchant
Zusammenfassung
von VulDB • 16.05.2026
In osCommerce Online Merchant Version 2.3.4.1 besteht eine Remote-Code-Ausführungs-Schwachstelle aufgrund einer unsicheren Standardkonfiguration und fehlender Authentifizierung im Installationsworkflow. Standardmäßig bleibt das Verzeichnis /install/ nach der Installation zugänglich. Ein nicht authentifizierter Angreifer kann install_4.php aufrufen, manipulierte POST-Daten übermitteln und beliebigen PHP-Code in die Datei configure.php injizieren. Wenn die Anwendung diese Datei später einbindet, wird das injizierte Payload ausgeführt, was zu einer vollständigen Kompromittierung des Servers führt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.