Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu OpenSolution Quick.Cart
30 października 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-10317
Data publikacji 30 października 2025
Producent podatnego oprogramowania OpenSolution
Nazwa podatnego oprogramowania Quick.Cart
Podatne wersje 6.7
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution Quick.Cart i koordynował proces ujawniania informacji.

Podatność CVE-2025-10317: Quick.Cart jest podatny na atak typu Cross-Site Request Forgery (CSRF) w funkcji tworzenia produktu. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST, tworząc produkt o treści zdefiniowanej przez atakującego. Oprogramowanie to nie implementuje żadnych mechanizmów ochronnych przeciwko tego typu atakom. Wszystkie formularze dostępne w tym systemie są potencjalnie podatne.

Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił odpowiedzi zawierającej szczegóły dotyczące podatności ani zakresu wersji podatnych. Przetestowano i potwierdzono podatność jedynie wersji 6.7 — inne wersje nie zostały sprawdzone i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Łukaszowi "vq4s" Woźniakowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.