Door een beveiligingslek in de webwinkel-applicatie CS-Cart was het mogelijk voor kwaadwillenden om bij verschillende webwinkels goederen te bestellen zonder hiervoor te betalen. CS-Cart biedt gebruikers een kant-en-klare webshop en ondersteunt ook betalingen via PayPal. Er zat echter een fout in het verwerken van betalingen die via PayPal werden gedaan.
De parameter voor het e-mailadres van de webwinkel werd namelijk op de computer van klanten gecontroleerd en niet door de server. Hierdoor was het mogelijk voor kwaadwillenden om het PayPal e-mailadres te veranderen in een e-mailadres waar de aanvallers controle over hadden.
Patch
Vervolgens konden de aanvallers bij de webwinkel allerlei goederen aanschaffen, waarbij ze zichzelf in plaats van de webwinkel betaalden. Om de fraude te detecteren zouden bestellingen handmatig moeten worden geverifieerd, aldus het CERT Coordination Center van de Carnegie Mellon Universiteit.
CS-Cart 3.0.4 en mogelijk eerdere versies zijn kwetsbaar. Inmiddels is CS-Cart 3.0.6 verschenen om het probleem op te lossen. De ontwikkelaar zegt in de aankondiging niets over het lek, maar merkt op dat de verwerking van PayPal-betalingen beter is beveiligd.
Deze posting is gelocked. Reageren is niet meer mogelijk.