CVE-2018-25435
ŚrednieCVSS 5.3Streszczenie
ZeusCart 4.0 zawiera podatność typu cross-site request forgery, która umożliwia atakującym wykonywanie nieautoryzowanych działań w imieniu ofiar poprzez tworzenie złośliwych żądań. Atakujący mogą dezaktywować konta klientów za pomocą interfejsu administracyjnego, wprowadzając użytkowników w błąd, aby odwiedzili strony kontrolowane przez atakujących.
Ocena ryzyka
Podatność ta stwarza ryzyko dezaktywacji kont klientów, co może prowadzić do utraty zaufania do systemu oraz potencjalnych strat finansowych dla organizacji.
Rekomendacja
Zaleca się wdrożenie mechanizmów ochrony przed CSRF, takich jak tokeny CSRF, oraz regularne aktualizowanie oprogramowania do najnowszych wersji, aby zminimalizować ryzyko tego typu ataków.
Oryginalny opis (angielski, źródło NVD)
ZeusCart 4.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of victims by crafting malicious requests. Attackers can deactivate customer accounts via the admin interface by tricking users into visiting attacker-controlled pages that submit requests to the regstatus endpoint with action=deny parameters.

