Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution Quick.Cart i koordynował proces ujawniania informacji.
Podatność CVE-2025-10317: Quick.Cart jest podatny na atak typu Cross-Site Request Forgery (CSRF) w funkcji tworzenia produktu. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST, tworząc produkt o treści zdefiniowanej przez atakującego. Oprogramowanie to nie implementuje żadnych mechanizmów ochronnych przeciwko tego typu atakom. Wszystkie formularze dostępne w tym systemie są potencjalnie podatne.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił odpowiedzi zawierającej szczegóły dotyczące podatności ani zakresu wersji podatnych. Przetestowano i potwierdzono podatność jedynie wersji 6.7 — inne wersje nie zostały sprawdzone i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Łukaszowi "vq4s" Woźniakowi.
