Er zit een beveiligingslek in osCommerce, de populaire open source webwinkelsoftware, waardoor kwaadwillenden zonder te betalen producten kunnen bestellen. De kwetsbaarheid bevindt zich in osCommerce Online Merchant v2.3.1 in combinatie met de PayPal betaalmodule 1.0, hoewel andere versies mogelijk ook kwetsbaar zijn. De parameter voor het PayPal e-mailadres van de webshop wordt gecontroleerd aan de kant van de koper en wordt niet geverifieerd door de server.
Controle
Hierdoor kan een aanvaller het PayPal e-mailadres wijzigen in een eigen adres en zo goederen op de website bestellen waarbij hij vervolgens zichzelf via PayPal betaalt in plaats van de webshop. Alleen door handmatige controle van bestellingen die via PayPal zijn gedaan zou de fraude zijn te detecteren, aldus het Amerikaanse Computer Emergency Readiness Team (US-CERT).
De ontwikkelaars zouden al op 18 juli door Giancarlo Pellegrino van SAP Research over het lek zijn ingelicht. Het probleem is inmiddels in osCommerce Online Merchant v2.3.4 en v1.1 van de betaalmodule verholpen, maar deze versies zijn nog niet te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.