0day.today - Największa Baza Exploitów na Świecie.
![](/img/logo_green.jpg)
- Korzystamy z jednej głównej domeny: http://0day.today
- Większość materiałów jest kompletnie DARMOWA
- Jeżeli chcesz kupić exploita / zdobyć dostęp V.I.P lub zapłacić za którąś z usług,
musisz zakupić lub zdobyćGOLD
Administracja tej strony używa oficjalnej strony kontaktowej. Uważaj na oszustów!
![We DO NOT use Telegram or any messengers / social networks!](/img/no_telegram_big.png)
Please, beware of scammers!
- Przeczytaj [ ugoda ]
- Przeczytaj [ Wyślij ] zasady
- Odwiedź [ faq ] strona
- [ Zarejestruj ] profil
- Zdobądź [ GOLD ]
- Jeżeli chcesz [ sprzedaj ]
- Jeżeli chcesz [ kup ]
- Jeżeli stracisz [ Konto ]
- Jakiekolwiek pytania [ [email protected] ]
- Strona autoryzacyjna
- Strona rejestracyjna
- Odzyskiwanie konta
- Strona FAQ
- Strona kontaktowa
- Zasady publikowania
- Strona
Mail:
Facebook:
Twitter:
Telegram:
We DO NOT use Telegram or any messengers / social networks!
Możesz się z nami skonaktować przez:
Mail:
Facebook:
Twitter:
Telegram:
We DO NOT use Telegram or any messengers / social networks!
FleetCart 4.1.1 Information Disclosure Vulnerability
Autor
Ryzyko
![](/img/risk/critlow_2.gif)
Średnie Zagrożenie Bezpieczeństwa
]0day-ID
Kategoria
Data dodania
CVE
Platforma
# Exploit Title: FleetCart 4.1.1 - WebPage Content Information Disclosure # Exploit Author: CraCkEr # Vendor: EnvaySoft # Vendor Homepage: https://codecanyon.net/item/fleetcart-laravel-ecommerce-system/23014826 # Software Demo Link: https://demo.fleetcart.envaysoft.com/en # Tested on: Windows 11 Pro 22H2 # Impact: Sensitive Information Leakage # CWE: CWE-200 - CWE-284 - CWE-266 # CVE: CVE-2024-5230 # CAPEC: CAPEC-19 / CAPEC-116 # ATT&CK: T1592 ## Description Issues with information disclosure in redirect responses. Accessing the majority of the website's pages exposes sensitive data, including the "Razorpay" "razorpayKeyId". ## Steps to Reproduce: When you view the majority of the pages on the website, such as https://demo.fleetcart.envaysoft.com/en/login https://demo.fleetcart.envaysoft.com/en/categories/smartphones/products https://demo.fleetcart.envaysoft.com/en/products?query=123 There is information leaking in the body page response. +---------------------+ razorpayKeyId: 'rzp_test_oACp03vDsqdixc', +---------------------+ Note: the same leaked "razorpayKeyId" is added to "Razorpay" in the Administration Panel. on this Path: https://demo.fleetcart.envaysoft.com/en/admin/settings?tab=razorpay (Login as Administrator) [-] Done # 0day.today [2024-07-02] #