Gonzalo Aguilar García

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que um atacante execute código JavaScript no navegador da vítima ao enviar uma URL maliciosa utilizando a busca no endpoint "/product/search". Isso pode ser explorado para roubar dados sensíveis do usuário, como cookies de sessão, ou para realizar ações em nome do usuário. **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou superior para corrigir a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao endpoint "/product/search" até que uma correção esteja disponível. Evite utilizar a funcionalidade de busca no endpoint "/product/search" até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que um atacante modifique o HTML no navegador da vítima ao enviar uma URL maliciosa e alterar o nome do parâmetro no endpoint da API "/account/login". Isso pode potencialmente resultar em ataques de injeção de HTML. **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para corrigir o problema. Como medida temporária, considere restringir o acesso ao endpoint da API `/account/login` até que uma correção esteja disponível. Evite utilizar nomes de parâmetros maliciosos ou não verificados no endpoint `/account/login` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0 **Descrição** A falha permite que um invasor modifique o HTML do navegador da vítima ao enviar uma URL maliciosa e alterar o `nome do parâmetro` no endpoint da API "/account/register". **Recomendações** Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou superior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores a 4.1.0 **Descrição** O problema permite que um atacante modifique o HTML do navegador da vítima enviando uma URL maliciosa e modificando o `nome do parâmetro` no endpoint da API "/account/voucher". Isso poderia potencialmente levar a ataques de injeção de HTML. **Recomendações** Para versões anteriores a 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API "/account/voucher" até que a atualização seja aplicada. Evite usar o `nome do parâmetro` vulnerável no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Soteshop anteriores à 8.3.4 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) que permite a atacantes remotos executar código arbitrário através do parâmetro `query` em "/app-google-custom-search/searchResults". Isso pode resultar no roubo de dados sensíveis do usuário, como cookies de sessão, ou permitir que ações sejam realizadas em nome do usuário. **Recomendações** Para versões anteriores à 8.3.4, atualize para a versão 8.3.4 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/app-google-custom-search/searchResults" ou sanitizar o parâmetro `query` para minimizar o risco de exploração.