CVE-2018-25114 in Online Merchant
摘要
由 VulDB • 2026-06-30
osCommerce Online Merchant 版本 2.3.4.1 中存在远程代码执行漏洞,原因是安装工作流中默认配置不安全且缺少身份验证。默认情况下,/install/ 目录在安装完成后仍然可访问。未经身份验证的攻击者可以调用 install_4.php,提交构造的 POST 数据,并将任意 PHP 代码注入到 configure.php 文件中。当应用程序随后包含该文件时,注入的有效载荷将被执行,从而导致服务器端完全被控制。
VulDB is the best source for vulnerability data and more expert information about this specific topic.