David Sopas

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop anteriores à 1.5.2 **Descrição** A vulnerabilidade permite ataques de cross-site scripting (XSS) por meio da subcadeia `<object data='data:text/html` no campo de mensagem. Isso permite que possíveis invasores injetem scripts maliciosos no site. **Recomendações** Para versões do PrestaShop anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário no campo de mensagem para impedir a injeção de scripts maliciosos.

**Nome do software vulnerável e versões afetadas: PrestaShop versão 1.5.5 Descrição: O problema diz respeito a uma vulnerabilidade de escalonamento de privilégios por meio de uma conta de vendedor que utilize o módulo de upload. Recomendações: Para a versão 1.5.5 do PrestaShop, considere restringir o acesso ao módulo de upload para contas de vendedor até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas: Versões do PrestaShop anteriores à 1.4.11 Descrição: A vulnerabilidade permite um ataque CSRF de logout. Recomendações: Para versões anteriores à 1.4.11, atualize para a versão 1.4.11 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do PrestaShop anteriores à 1.4.11 Descrição: A vulnerabilidade permite que usuários com permissões de baixo nível, como logísticos e tradutores, injetem um vetor XSS persistente no TinyMCE. Recomendações: Para versões anteriores à 1.4.11, atualize para a versão 1.4.11 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: PrestaShop versão 1.5.5 Descrição: A vulnerabilidade permite que invasores remotos autenticados executem código arbitrário. Isso é feito através do upload de um perfil malicioso e, em seguida, do acesso a ele no diretório `module/`. Recomendações: Para a versão 1.5.5 do PrestaShop, considere restringir o acesso ao diretório `module/` para impedir a exploração da vulnerabilidade até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** com komento versions prior to 2.0.5 **Description** The issue allows remote attackers to inject arbitrary web script or HTML via the `img` or `url` tag of a new comment, potentially leading to cross-site scripting (XSS) attacks. **Recommendations** For versions prior to 2.0.5, update to version 2.0.5 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Kohana versions prior to 3.3.6 **Description** A cross-site scripting (XSS) issue exists in the Security component, allowing remote attackers to inject arbitrary web script or HTML by bypassing the `strip image tags` protection mechanism in `system/classes/Kohana/Security.php`. This could potentially affect a significant number of devices, although the exact number is not specified. **Recommendations** For versions prior to 3.3.6, update to version 3.3.6 or later to resolve the issue. As a temporary workaround, consider disabling the `strip image tags` function in `system/classes/Kohana/Security.php` until a patch is available. Restrict access to the Security component to minimize the risk of exploitation. Avoid using the `system/classes/Kohana/Security.php` file in sensitive operations until the issue is resolved.