6H4Ack

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que um atacante modifique o HTML no navegador da vítima ao enviar uma URL maliciosa e alterar o nome do parâmetro no endpoint da API "/account/login". Isso pode potencialmente resultar em ataques de injeção de HTML. **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para corrigir o problema. Como medida temporária, considere restringir o acesso ao endpoint da API `/account/login` até que uma correção esteja disponível. Evite utilizar nomes de parâmetros maliciosos ou não verificados no endpoint `/account/login` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores a 4.1.0 **Descrição** O problema permite que um atacante modifique o HTML do navegador da vítima enviando uma URL maliciosa e modificando o `nome do parâmetro` no endpoint da API "/account/voucher". Isso poderia potencialmente levar a ataques de injeção de HTML. **Recomendações** Para versões anteriores a 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API "/account/voucher" até que a atualização seja aplicada. Evite usar o `nome do parâmetro` vulnerável no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Soteshop anteriores à 8.3.4 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) que permite a atacantes remotos executar código arbitrário através do parâmetro `query` em "/app-google-custom-search/searchResults". Isso pode resultar no roubo de dados sensíveis do usuário, como cookies de sessão, ou permitir que ações sejam realizadas em nome do usuário. **Recomendações** Para versões anteriores à 8.3.4, atualize para a versão 8.3.4 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/app-google-custom-search/searchResults" ou sanitizar o parâmetro `query` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que um atacante execute código JavaScript no navegador da vítima ao enviar uma URL maliciosa utilizando a busca no endpoint "/product/search". Isso pode ser explorado para roubar dados sensíveis do usuário, como cookies de sessão, ou para realizar ações em nome do usuário. **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou superior para corrigir a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao endpoint "/product/search" até que uma correção esteja disponível. Evite utilizar a funcionalidade de busca no endpoint "/product/search" até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A falha permite que um invasor modifique o HTML do navegador da vítima ao enviar uma URL maliciosa e alterar o `nome do parâmetro` no endpoint da API "/account/register". **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou superior para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: Internet Web Solutions Sublime CRM até 20250207 Descrição: Foi identificada uma vulnerabilidade no componente Manipulador de Solicitação HTTP POST do Internet Web Solutions Sublime CRM, afetando uma função desconhecida do arquivo /crm/inicio.php. A manipulação do argumento `msg to` resulta em cross-site scripting. É possível lançar o ataque remotamente e outros parâmetros também podem ser afetados. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o Internet Web Solutions Sublime CRM até 20250207, como medida temporária, considere restringir o acesso ao argumento `msg to` no Manipulador de Solicitação HTTP POST para minimizar o risco de exploração. Evite usar o argumento `msg to` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Janto versão 4.3r11 **Descrição** Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS), que permite que um invasor execute código JavaScript no navegador da vítima. Isso é feito através do envio de uma URL maliciosa utilizando o endpoint “/abonados/public/janto/main.php”. **Recomendações** Para a versão 4.3r11 do Janto, considere restringir o acesso ao endpoint “/abonados/public/janto/main.php” até que uma correção esteja disponível. Como solução temporária, evite usar esse endpoint para minimizar o risco de exploração.