Door een kwetsbaarheid in de betaalmodule van osCommerce 2.3.1 kunnen kwaadwillenden bestellingen plaatsen zonder te betalen.
De fout is gevonden in osCommerce versie 2.3.1 in combinatie met de ‘PayPal website payments standard module’ versie 1.0. Mogelijk zijn ook andere versies kwetsbaar. Het Amerikaanse Computer Emergency Readiness Team (US-CERT) heeft deze kwetsbaarheid vandaag openbaar gemaakt.
Door een ontwerpfout is het mogelijk dat een aanvaller client-side de parameter manipuleert, waarmee het email adres van de handelaar wordt doorgegeven. De betaling wordt door Paypal naar de eigenaar van dit email adres uitbetaald. Door de parameter te wijzigen in een email adres dat is gekoppeld aan het Paypal account van de koper, wordt de betaling weer uitbetaald aan de koper. Effectief kunnen hiermee goederen worden besteld zonder te betalen. Deze frauduleuze transacties kunnen alleen door handmatige verificatie worden ontdekt.
Er wordt gewerkt aan een update van osCommerce Online Merchant (versie 2.3.4) en de betaalmodule (versie 1.1) waarin de kwetsbaarheid wordt verholpen. Een tijdelijke oplossing is het versleutelen van de parameters, via de optie ‘Enable Encrypted Web Payments’ in de betaalmodule.