Le propriétaire d’OpenCart s’emporte après qu’un chercheur ait révélé une grave faille de sécurité.

Le propriétaire du système de gestion de boutique en ligne OpenCart a répondu avec hostilité à un chercheur en sécurité révélant une vulnérabilité dans le produit. Le testeur de pénétration Mattia Brollo a apporté une vulnérabilité d’injection de code statique à l’attention d’OpenCart en ouvrant une question sur GitHub le 14 octobre, pour être ensuite rencontré avec de nombreuses réponses dédaigneuses et offensantes de la part de Daniel Kerr, propriétaire d’OpenCart. Avant l’implication de Kerr, Brollo affirme avoir passé près d’un mois à tenter de contacter OpenCart via ses canaux officiels, tels que ses e-mails de support et de webmaster, et le forum officiel OpenCart, sans recevoir de réponse. Le 10 novembre, la base de données nationale des vulnérabilités a formellement reconnu la découverte de Brollo, que Kerr qualifiera plus tard de « non vulnérabilité », et est désormais suivie sous le numéro CVE-2023-47444 – une vulnérabilité presque critique ayant un score de sévérité de 8,8 sur l’échelle CVSS 3. Comme dernier recours pour corriger le problème, Brollo affirme avoir de nouveau essayé de contacter les administrateurs via les forums OpenCart. Un jour plus tard, Kerr a donné sa première réponse par e-mail en disant: « Ur a fucking tim.e waster! », Selon une capture d’écran partagée par Brollo dans son blog de divulgation, publié trois jours après l’e-mail de Kerr.

Share the Post: