Vulnerabilities ›

CVE-2018-25435

Medium

CWE-352 — Weakness Type

                    Published: Jun 1, 2026                      ·  Modified: Jun 4, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

ZeusCart 4.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of victims by crafting malicious requests. Attackers can deactivate customer accounts via the admin interface by tricking users into visiting attacker-controlled pages that submit requests to the regstatus endpoint with action=deny parameters.

🤖 AI Executive Summary

ZeusCart 4.0 contains a cross-site request forgery (CSRF) vulnerability allowing attackers to perform unauthorized actions on behalf of victims. Attackers can deactivate customer accounts by tricking users into visiting malicious pages that submit requests to the regstatus endpoint.

📄 Description (Arabic)

ثغرة تزييف طلب عبر الموقع في ZeusCart 4.0 تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها نيابة عن المسؤولين والمستخدمين. يمكن استخدام هذه الثغرة لإلغاء تفعيل حسابات العملاء وتعديل البيانات الحساسة دون موافقة صريحة.

🤖 ملخص تنفيذي (AI)

ZeusCart 4.0 يحتوي على ثغرة تزييف طلب عبر الموقع (CSRF) تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها نيابة عن الضحايا. يمكن للمهاجمين إلغاء تفعيل حسابات العملاء بخداع المستخدمين لزيارة صفحات ضارة.

🤖 AI Intelligence Analysis Analyzed: Jun 2, 2026 03:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1566.002 T1204.001 T1539

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ZeusCart to a patched version beyond 4.0 that implements CSRF token validation. Implement anti-CSRF tokens on all state-changing endpoints, validate referrer headers, use SameSite cookie attributes, and enforce proper session management with secure token generation.

🔧 خطوات المعالجة (العربية)

قم بترقية ZeusCart إلى إصدار مصحح يتجاوز 4.0 يطبق التحقق من رموز CSRF. طبق رموز مضادة للـ CSRF على جميع نقاط النهاية التي تغير الحالة، تحقق من رؤوس المرجع، استخدم سمات ملفات تعريف الارتباط SameSite، وفرض إدارة جلسة آمنة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.3.1 5.3.2

🔵 SAMA CSF

CC-6.1 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 3

🔗

http://http://www.zeuscart.com/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/46027

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/zeuscart-deactivate-customer-accounts-csrf

disclosure@vulncheck.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-352

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-06-01

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-352

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25435

Introduce Yourself

Sign In Required