CubeCart ‘shipping’参数PHP对象注入漏洞 CVE-2013-1465 CNNVD-201302-138

7.5 AV AC AU C I A
发布: 2013-02-08
修订: 2024-01-09

Devellion CubeCart是英国Devellion公司的一套免费且开源的电子商务购物车软件。该软件支持在网上商店销售产品、添加/编辑产品或图像等。 CubeCart 5.0.0至5.2.0版本中的classes/cubecart.class.php中的Cubecart::_basket方法中存在漏洞。通过特制的shipping参数,比如使用Config对象来对应用程序配置进行修改,远程攻击者可利用该漏洞非序列化任意PHP对象。

当前有3条漏洞利用/PoC
当前有18条受影响产品信息