MaxD Lightning Module 4.43/4.44 auf OpenCart li_op/md erweiterte Rechte
Zusammenfassung
Es wurde eine kritische Schwachstelle in MaxD Lightning Module 4.43/4.44 für OpenCart ausgemacht. Es geht dabei um eine nicht klar definierte Funktion. Mit der Manipulation des Arguments li_op/md mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2025-0974 gehandelt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in MaxD Lightning Module 4.43/4.44 auf OpenCart entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code. Mittels dem Manipulieren des Arguments li_op/md mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-502. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Bereitgestellt wird das Advisory unter gist.github.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2025-0974 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit wird unter gist.github.com bereitgestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 4.45 vermag dieses Problem zu lösen. Eine neue Version kann von lightning.devs.mx bezogen werden.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.7
VulDB Base Score: 5.0
VulDB Temp Score: 4.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 5.0
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-502 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Lightning Module 4.45
Timeline
02.02.2025 🔍02.02.2025 🔍
19.04.2026 🔍
Quellen
Advisory: gist.github.comStatus: Bestätigt
CVE: CVE-2025-0974 (🔍)
GCVE (CVE): GCVE-0-2025-0974
GCVE (VulDB): GCVE-100-294365
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 02.02.2025 10:09Aktualisierung: 19.04.2026 15:28
Anpassungen: 02.02.2025 10:09 (55), 03.02.2025 03:25 (30), 19.04.2026 15:28 (11)
Komplett: 🔍
Einsender: mcdruid
Cache ID: 216::103
Submit
Akzeptiert
- Submit #489672: devs.mx OpenCart Lightning 4.43 Deserialization of Untrusted Data (von mcdruid)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Please review at last!
Are you interested in using VulDB?
Download the whitepaper to learn more about our service!