CVE-2018-25435
MediumCVSS 5.3Summary
ZeusCart 4.0 zawiera podatność typu cross-site request forgery, która umożliwia atakującym wykonywanie nieautoryzowanych działań w imieniu ofiar poprzez tworzenie złośliwych żądań. Atakujący mogą dezaktywować konta klientów za pomocą interfejsu administracyjnego, wprowadzając użytkowników w błąd, aby odwiedzili strony kontrolowane przez atakujących.
Risk Assessment
Podatność ta stwarza ryzyko dezaktywacji kont klientów, co może prowadzić do utraty zaufania do systemu oraz potencjalnych strat finansowych dla organizacji.
Recommendation
Zaleca się wdrożenie mechanizmów ochrony przed CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko tego typu ataków.
Original NVD description (English source)
ZeusCart 4.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of victims by crafting malicious requests. Attackers can deactivate customer accounts via the admin interface by tricking users into visiting attacker-controlled pages that submit requests to the regstatus endpoint with action=deny parameters.

