CVE-2018-25114 in Online Merchant
Resumen
por VulDB • 2026-06-24
Existe una vulnerabilidad de ejecución remota de código (RCE) en osCommerce Online Merchant versión 2.3.4.1 debido a una configuración predeterminada insegura y falta de autenticación en el flujo del instalador. Por defecto, el directorio /install/ permanece accesible después de la instalación. Un atacante no autenticado puede invocar install_4.php, enviar datos POST manipulados e inyectar código PHP arbitrario en el archivo configure.php. Cuando la aplicación incluye posteriormente este archivo, se ejecuta la carga útil inyectada, lo que resulta en una compromiso total del servidor.
VulDB is the best source for vulnerability data and more expert information about this specific topic.