En Enero del 2010, Ben Manyard contacto a los desarrolladores de OpenCart, para reportar un par de vulnerabilidades. Estas vulnerabilidades podrian permitir a un atacante cambiar la cuenta de pago de la instalacion y tomar control total de la aplicacion.
A este correo, el desarrollador de OpenCart Daniel Kerr, respondio burlandose de el, y pidiendole que deje de hacerle perder el tiempo.
Ben Manyard, consecuentemente publico un post en su blog: http://blog.visionsource.org/2010/01/28/opencart-csrf-vulnerability/ reportando los hechos, a lo cual en los comentarios el mismo desarrollador de OpenCart (Daniel Kerr) entro a demostrar que no solo no entendia la vulnerabilidad (diciendo que paypal, google, y todos los bancos del mundo son vulnerables a CSRF, cosa que no es verdad), sino sugiriendo que los antivirus protegian contra estos ataques (cosa que tampoco es verdad).
La discusion continuo, y Ben Manyard llego a la conclusion que la unica forma de ayudar a las personas, era haciendo un fork de OpenCart, con los parches (dado que OpenCart se nego a arreglarlas) el cual hizo.. Sinembargo no duro mucho, antes que los desarrolladores de OpenCart sabotearan su codigo, para que sus parches no pudieran funcionar (http://blog.visionsource.org/2010/03/29/opencart-secured-issue/).
Es asi, como todas estas vulnerabilidades, aun hoy en dia, se encuentran existentes en todas las instalaciones de OpenCart, sin ningun parche disponible, los desarrolladores se niegan a arreglarlas (debido a que no las entienden), y decenas de miles de usuarios se encuentran en peligro de perder cantidades considerables de dinero. (Como podemos observar al buscar Powered by OpenCart en Google).
Que recomendamos? no usar OpenCart.
Saludos!!