Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu OpenSolution Quick.Cart i koordynował proces ujawniania informacji.
Podatność CVE-2025-10317: Quick.Cart jest podatny na atak typu Cross-Site Request Forgery (CSRF) w funkcji tworzenia produktu. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST, tworząc produkt o treści zdefiniowanej przez atakującego. Oprogramowanie to nie implementuje żadnych mechanizmów ochronnych przeciwko tego typu atakom. Wszystkie formularze dostępne w tym systemie są potencjalnie podatne.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił odpowiedzi zawierającej szczegóły dotyczące podatności ani zakresu wersji podatnych. Przetestowano i potwierdzono podatność jedynie wersji 6.7 — inne wersje nie zostały sprawdzone i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Łukaszowi "vq4s" Woźniakowi.
![Błędy w implementacji krzywej FourQ od Cloudflare pozwalały na odzyskanie klucza prywatnego [CVE-2025-8556]](https://sekurak.pl/wp-content/uploads/2023/04/ProXy_computer_is_hacking_man_ab39bc3e-6ce6-4c49-8c5d-37ad77c46bd4.png)
