CVE-2018-25114 in Online Merchant
Tóm tắt
Bởi VulDB • 30/06/2026
Tồn tại một lỗ hổng thực thi mã từ xa (RCE) trong osCommerce Online Merchant phiên bản 2.3.4.1 do cấu hình mặc định không an toàn và thiếu xác thực trong quy trình cài đặt. Theo mặc định, thư mục /install/ vẫn có thể truy cập được sau khi quá trình cài đặt hoàn tất. Một kẻ tấn công chưa được xác thực có thể gọi install_4.php, gửi dữ liệu POST đã được tạo ra đặc biệt (crafted) và chèn mã PHP tùy ý vào file configure.php. Khi ứng dụng bao gồm (include) file này về sau, payload bị chèn sẽ được thực thi, dẫn đến việc chiếm quyền kiểm soát hoàn toàn phía máy chủ.
Once again VulDB remains the best source for vulnerability data.