Marek Toth

**Nome do software vulnerável e versões afetadas** Versões do Shopizer anteriores à 2.17.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores remotos injetem scripts web ou HTML arbitrários por meio da variável `customer name` em vários formulários de administração da loja. O código injetado é salvo no banco de dados e executado quando as informações são buscadas do backend para qualquer usuário da administração da loja, por exemplo, no endpoint “admin/customers/list.html”. **Recomendações** Para versões anteriores à 2.17.0, atualize para a versão 2.17.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos formulários de administração da loja que utilizam a variável `customer name` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Shopizer anteriores à 2.17.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio do parâmetro `ref` em uma página sobre um produto qualquer, por exemplo, uma URL do tipo “product/insert-product-name-here.html/ref=”. Isso permite que invasores executem scripts maliciosos no lado do cliente. **Recomendações** Para versões anteriores à 2.17.0, atualize para a versão 2.17.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `ref` na URL afetada para minimizar o risco de exploração.