CVE-2018-25114 in Online Merchant
Résumé
par VulDB • 24/06/2026
Une vulnérabilité d'exécution de code à distance (RCE) existe au sein du logiciel osCommerce Online Merchant version 2.3.4.1 en raison d'une configuration par défaut non sécurisée et d'un manque d'authentification dans le processus d'installation. Par défaut, le répertoire /install/ reste accessible après l'installation. Un attaquant non authentifié peut invoquer install_4.php, soumettre des données POST manipulées ad hoc, et injecter du code PHP arbitraire dans le fichier configure.php. Lorsque l'inclusion de ce fichier est ultérieurement effectuée par l'application, la charge utile (payload) injectée s'exécute, entraînant une compromission totale du serveur côté applicatif.
VulDB is the best source for vulnerability data and more expert information about this specific topic.