N/A

The PayPal Payments Pro module in Zen Cart does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate, related to use of the PHP fsockopen function, a different vulnerability than CVE-2012-5805.

N/A

N/A

Zen Cart ‘PayPal Payments Pro’模块输入验证漏洞

Zen Cart是Zen Cart团队开发的一套开源的购物车系统。该系统主要用于建立网上商店，可支持多种付款方式、多语言选择、网上商城批量更新等。 Zen Cart中的PayPal Payments Pro模块中存在漏洞，该漏洞源于在主题Common Name（CN）或X.509证书的subjectAltName字段中，程序没有对服务器主机名与域名的匹配进行校验。中间人攻击者利用该漏洞通过任意有效的证书欺骗SSL服务器，与使用PHP‘fsockopen’函数有关。

N/A

N/A