osCommerce PayPal网站支付标准模块安全绕过漏洞

CVE编号

CVE-2012-2991

利用情况

暂无

补丁情况

N/A

披露时间

2012-09-20
漏洞描述
osCommerce是一款开源网上商店程序。osCommerce使用的PayPal站点支付标准模块包含一个设计缺陷(商家PayPal Email地址参数可由客户端控制并且没有被服务器校验),允许攻击者无需支付购买物品(由商家支付)。
解决建议
osCommerce Online Merchant v2.3.4和支付模块v1.1已经修复此漏洞,建议用户下载使用:https://github.com/osCommerce/oscommerce2/tree/master/catalog/ext/modules/payment/paypalhttp://oscommerce.com/
参考链接
http://secunia.com/advisories/50640
http://www.kb.cert.org/vuls/id/459446
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 oscommerce online_merchant * Up to
(including)
2.3.3
运行在以下环境
应用 oscommerce online_merchant 2.3.0 -
运行在以下环境
应用 oscommerce online_merchant 2.3.1 -
运行在以下环境
应用 oscommerce online_merchant 2.3.2 -
运行在以下环境
应用 paypal website_payments_standard_module * Up to
(including)
1.0
CVSS3评分
5.0
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
    部分地
AV:N/AC:L/Au:N/C:N/I:P/A:N
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况