CVE-2024-50968

Nome do software vulnerável e versões afetadas:

itsourcecode Agri-Trading Online Shopping System versão 1.0

Descrição:

Existe uma falha na lógica de negócios na função “Adicionar ao carrinho”, permitindo que invasores remotos manipulem o parâmetro quant ao adicionar um produto ao carrinho. Ao definir o valor da quantidade como -0, um invasor pode explorar uma falha na lógica de cálculo do preço total do aplicativo, reduzindo o preço total a zero e permitindo que ele adicione itens ao carrinho e prossiga para o checkout.

Recomendações:

Para o itsourcecode Agri-Trading Online Shopping System versão 1.0, considere desativar a função “Adicionar ao carrinho” até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de lógica de negócios. Restrinja o acesso ao parâmetro quant para minimizar o risco de manipulação. Como solução alternativa temporária, implemente uma validação para garantir que o valor da quantidade não seja definido como -0 ao adicionar produtos ao carrinho.