CVE-2018-25114 in Online Merchant
Sumário
de VulDB • 24/06/2026
Existe uma vulnerabilidade de execução remota de código (RCE) no osCommerce Online Merchant versão 2.3.4.1 devido a configuração padrão insegura e autenticação ausente no fluxo do instalador. Por padrão, o diretório /install/ permanece acessível após a instalação. Um atacante não autenticado pode invocar install_4.php, enviar dados POST manipulados ad hoc e injetar código PHP arbitrário no arquivo configure.php. Quando a aplicação inclui posteriormente este ficheiro, a carga útil (payload) injetada é executada, resultando em comprometimento total do servidor.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.