Anonx-Hunter

**Nome do Software Vulnerável e Versões Afetadas** Shopware 6 (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na interface de instalação do Shopware 6. O campo `c database schema` não sanitiza adequadamente a entrada fornecida pelo usuário antes de renderizá-la no navegador, permitindo que um atacante injete JavaScript malicioso. Esta vulnerabilidade pode ser explorada por meio de um ataque de Cross-Site Request Forgery (CSRF) devido à ausência de proteções CSRF na requisição POST. Um atacante remoto não autenticado pode criar uma página web maliciosa que, quando visitada por uma vítima, armazena o payload persistentemente na configuração de instalação. Como resultado, o payload é executado sempre que qualquer usuário acessa posteriormente a página de instalação vulnerável, levando à execução persistente de código no lado do cliente. O endpoint da API vulnerável é `/recovery/install/database-configuration/`. O parâmetro vulnerável é `c database schema`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.