| CVE ID | CVE-2025-67683 |
| Data publikacji | 22 stycznia 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | Quick.Cart |
| Podatne wersje | 6.7 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-67684 |
| Data publikacji | 22 stycznia 2026 |
| Producent podatnego oprogramowania | OpenSolution |
| Nazwa podatnego oprogramowania | Quick.Cart |
| Podatne wersje | 6.7 |
| Typ podatności (CWE) | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenSolution Quick.Cart i koordynował proces ujawniania informacji.
Podatność CVE-2025-67683: Quick.Cart jest podatny na Reflected Cross-Site Scripting w parametrze sSort. Atakujący może spreparować adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
Podatność CVE-2025-67684: Quick.Cart jest podatny na ataki typu Local File Inclusion oraz Path Traversal w mechanizmie wyboru motywu. Quick.Cart pozwala uprzywilejowanemu użytkownikowi na przesłanie dowolnego pliku, weryfikując jedynie rozszerzenie nazwy pliku. Umożliwia to atakującemu dołączenie do pliku kodu PHP i jego wykonanie, co prowadzi do zdalnego wykonania kodu na serwerze.
Producent został wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji 6.7 - inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Arkadiuszowi Marcie.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.