As falhas seguidamente descritas afetam as versões mais recentes do OXID eShop Enterprise, Professional e Community.
Ambas podem ser exploradas pelo atacante sem qualquer tipo de interação com o utilizador.
CVE-2019-13026
- Vulnerabilidade de injeção SQL, que pode ser explorada para se criar uma nova de administrador. A falha reside no facto de o atacante poder submeter precisamente queries em SQL, pelas quais consegue adicionar um novo administrador e uma password à sua escolha
A segunda falha designa-se por injeção de objeto em PHP, e afeta mais especificamente o painel de administração da plataforma. É causada pela falta de sanitização do input do utilizador, que depois passa para a função unserialize() em PHP. Esta falha, na realidade, depende da primeira, já que o atacante necessita de acesso ao painel de administração, algo que só pode ser efetuado a partir da primeira falha de injeção sql.
Com estas duas falhas, o que na prática poderá acontecer é a execução de código malicioso e de forma remota em qualquer instalação de plataforma de eCommerce. Desta forma, os atacantes podem roubar dados de cartões de crédito, por exemplo, através da instalação de software para o efeito nestas plataformas.
Fonte: https://www.wilderssecurity.com/threads/critical-flaws-in-oxid-eshop-software-expose-ecommerce-sites-to-hacking.419248/