Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en OpenCart

Fecha de publicación 27/02/2025
Identificador
INCIBE-2025-0108
Importancia
3 - Media
Recursos Afectados

OpenCart, versiones anteriores a 4.1.0.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart, una plataforma de eCommerce de código abierto, las cuales han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-1746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
  • CVE-2025-1747 a CVE-2025-1749: CVSS v3.1: 4.7 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de OpenCart en la versión 4.1.0.

Detalle

Las vulnerabilidades son:

  • CVE-2025-1746: vulnerabilidad de Cross-Site Scripting en las versiones de OpenCart anteriores a la 4.1.0. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando la búsqueda en el endpoint /product/search. Esta vulnerabilidad podría ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
  • Múltiples vulnerabilidades de inyección HTML en las versiones de OpenCart anteriores a la 4.1.0. Estas vulnerabilidades podrían permitir a un atacante modificar el HTML del navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-1747: modificando el nombre del parámetro en /account/login.
    • CVE-2025-1748: modificando el nombre del parámetro en /account/register.
    • CVE-2025-1749: modificando el nombre del parámetro en /account/voucher.
Listado de referencias