CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25397

Medium
Published: Translated: NVD NIST

Summary

PHP-SHOP w wersji 1.0 zawiera podatność typu cross-site request forgery, która pozwala nieautoryzowanym atakującym na dodawanie użytkowników administracyjnych poprzez tworzenie złośliwych formularzy HTML. Atakujący mogą oszukać uwierzytelnionych administratorów, aby odwiedzili stronę z ukrytym formularzem, który automatycznie wysyła żądania POST do punktu końcowego users.php z parametrami takimi jak imię, e-mail, hasło i uprawnienia ustawione na admin.

Risk Assessment

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu. Organizacja może być narażona na utratę danych oraz nieautoryzowane zmiany w konfiguracji.

Recommendation

Zaleca się aktualizację PHP-SHOP do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF, takie jak tokeny CSRF w formularzach.

Original NVD description (English source)

PHP-SHOP 1.0 contains a cross-site request forgery vulnerability that allows unauthenticated attackers to add administrative users by crafting malicious HTML forms. Attackers can trick authenticated administrators into visiting a page containing a hidden form that automatically submits POST requests to the users.php endpoint with parameters like name, email, password, and permissions set to admin to create unauthorized admin accounts.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS