Er is een kritiek beveiligingslek (CVE-2018-25114) ontdekt in osCommerce Online Merchant versie 2.3.4.1. Deze kwetsbaarheid betreft een remote code execution als gevolg van een onveilige standaardconfiguratie en ontbrekende authenticatie in de installer workflow. Dit kan leiden tot volledige compromis van de server. Het installatiepad /install/ blijft na installatie toegankelijk, wat betekent dat een ongeauthenticeerde aanvaller de file install_4.php kan aanroepen en arbitraire PHP-code kan injecteren in configure.php. Wanneer deze file later wordt geïmporteerd, wordt de geïnjecteerde code uitgevoerd.
Overzicht
De kwetsbaarheid kan door een aanvaller worden uitgebuit zonder enige vorm van authenticatie of gebruikersinteractie. De aanval vereist slechts netwerktoegang en kan automatisch uitgevoerd worden, met grote gevolgen voor de integriteit, vertrouwelijkheid en beschikbaarheid van het systeem.
Aanbevelingen
- Zorg ervoor dat de
/install/directory na installatie wordt verwijderd of ontoegankelijk wordt gemaakt. - Update naar een nieuwere versie van osCommerce zodra patches beschikbaar worden gemaakt.
Bronnen
Vraag en Antwoord
Wat is CVE-2018-25114?
Deze CVE betreft een remote code execution kwetsbaarheid in osCommerce die het mogelijk maakt voor aanvallers om arbitraire PHP-code te injecteren via een onveilige installatieconfiguratie.
Welke systemen zijn kwetsbaar voor CVE-2018-25114?
OsCommerce Online Merchant versie 2.3.4.1 is kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er zijn op dit moment nog geen patches beschikbaar, maar het is cruciaal om de /install/ directory te beveiligen of te verwijderen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan volledige controle over de server verkrijgen door schadelijke code uit te voeren via de configure.php file, wat kan leiden tot dataverlies en serviceonderbrekingen.
