Le propriétaire d’OpenCart se met à l’air bleu après que le chercheur a révélé une vulnérabilité grave.

Le propriétaire du système de gestion de boutique en ligne OpenCart a répondu avec hostilité à un chercheur en sécurité révélant une vulnérabilité dans le produit. Le testeur d’intrusion Mattia Brollo a attiré l’attention d’OpenCart sur une vulnérabilité d’injection de code statique en ouvrant une question sur GitHub le 14 octobre, seulement pour être accueilli par de nombreuses réponses dédaigneuses et offensantes de la part de Daniel Kerr, propriétaire d’OpenCart. Avant l’implication de Kerr, Brollo affirme avoir passé près d’un mois à essayer de contacter OpenCart via les canaux officiels, tels que ses e-mails de support et de webmaster, et le forum officiel d’OpenCart, sans recevoir de réponse. Le 10 novembre, la base de données nationale des vulnérabilités a formellement reconnu la découverte de Brollo, que Kerr qualifierait plus tard de «non vulnérabilité», et qui est désormais suivie sous le numéro CVE-2023-47444 – une question presque critique classée avec un score de sévérité de 8,8 sur l’échelle CVSS 3. Comme dernier recours pour obtenir la correction de l’anomalie, Brollo dit qu’il a de nouveau essayé de contacter les administrateurs via les forums d’OpenCart. Un jour plus tard, Kerr a donné sa première réponse par e-mail disant: «Ur a fucking tim.e waster!», Selon une capture d’écran partagée par Brollo dans son blog de divulgation, publié trois jours après l’e-mail de Kerr.

Share the Post: