CVE-2018-25114 in Online Merchantthông tin

Tóm tắt

Bởi VulDB • 30/06/2026

Tồn tại một lỗ hổng thực thi mã từ xa (RCE) trong osCommerce Online Merchant phiên bản 2.3.4.1 do cấu hình mặc định không an toàn và thiếu xác thực trong quy trình cài đặt. Theo mặc định, thư mục /install/ vẫn có thể truy cập được sau khi quá trình cài đặt hoàn tất. Một kẻ tấn công chưa được xác thực có thể gọi install_4.php, gửi dữ liệu POST đã được tạo ra đặc biệt (crafted) và chèn mã PHP tùy ý vào file configure.php. Khi ứng dụng bao gồm (include) file này về sau, payload bị chèn sẽ được thực thi, dẫn đến việc chiếm quyền kiểm soát hoàn toàn phía máy chủ.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

22/07/2025

Tiết lộ

23/07/2025

Kiểm duyệt

được chấp nhận

Khai thác

Tải xuống

EPSS

0.02820

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!