CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25435

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

ZeusCart 4.0 zawiera podatność typu cross-site request forgery, która umożliwia atakującym wykonywanie nieautoryzowanych działań w imieniu ofiar poprzez tworzenie złośliwych żądań. Atakujący mogą dezaktywować konta klientów za pomocą interfejsu administracyjnego, wprowadzając użytkowników w błąd, aby odwiedzili strony kontrolowane przez atakujących.

Risk Assessment

Podatność ta stwarza ryzyko dezaktywacji kont klientów, co może prowadzić do utraty zaufania do systemu oraz potencjalnych strat finansowych dla organizacji.

Recommendation

Zaleca się wdrożenie mechanizmów ochrony przed CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko tego typu ataków.

Original NVD description (English source)

ZeusCart 4.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of victims by crafting malicious requests. Attackers can deactivate customer accounts via the admin interface by tricking users into visiting attacker-controlled pages that submit requests to the regstatus endpoint with action=deny parameters.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS