CVE-2024-50944

Nome do software vulnerável e versões afetadas:

SimplCommerce, versão no commit 230310c8d7a0408569b292c5a805c459d47a1d8f

SimplCommerce versão 1.0.0

Descrição:

Existe uma vulnerabilidade de estouro de inteiro na funcionalidade do carrinho de compras do SimplCommerce. O problema reside no parâmetro quantity no método AddToCart do CartController, permitindo que invasores remotos manipulem quantidades de produtos e preços totais por meio de entradas maliciosas que exploram a validação insuficiente do parâmetro de quantidade.

Recomendações:

Para a versão do SimplCommerce no commit 230310c8d7a0408569b292c5a805c459d47a1d8f, considere desativar o método AddToCart no CartController até que um patch esteja disponível.

Para a versão 1.0.0 do SimplCommerce, restrinja o acesso à funcionalidade do carrinho de compras para minimizar o risco de exploração.

Como solução alternativa temporária, evite usar o parâmetro quantity na funcionalidade do carrinho de compras afetada até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.