Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en OpenCart

Múltiples vulnerabilidades en OpenCart
Jue, 27/02/2025 – 11:01

Aviso

Recursos Afectados

OpenCart, versiones anteriores a 4.1.0.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart, una plataforma de eCommerce de código abierto, las cuales han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

• CVE-2025-1746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
• CVE-2025-1747 a CVE-2025-1749: CVSS v3.1: 4.7 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N | CWE-79

Identificador
INCIBE-2025-0108

3 – Media

Solución

La vulnerabilidad ha sido solucionada por el equipo de OpenCart en la versión 4.1.0.

Detalle

Las vulnerabilidades son:

• CVE-2025-1746: vulnerabilidad de Cross-Site Scripting en las versiones de OpenCart anteriores a la 4.1.0. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando la búsqueda en el endpoint /product/search. Esta vulnerabilidad podría ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
• Múltiples vulnerabilidades de inyección HTML en las versiones de OpenCart anteriores a la 4.1.0. Estas vulnerabilidades podrían permitir a un atacante modificar el HTML del navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
  • CVE-2025-1747: modificando el nombre del parámetro en /account/login.
  • CVE-2025-1748: modificando el nombre del parámetro en /account/register.
  • CVE-2025-1749: modificando el nombre del parámetro en /account/voucher.

Listado de referencias

OpenCart – Web del producto

Etiquetas