Markus Schader

**Nome do software vulnerável e versões afetadas: Zen Cart versão 1.5.6c Descrição: O problema diz respeito a uma vulnerabilidade de injeção de SQL no plugin IT-Recht Kanzlei. Especificamente, o endpoint `itrk-api.php` está afetado, permitindo a injeção de SQL por meio do parâmetro `rechtstext language`. Recomendações: Para o Zen Cart versão 1.5.6c, considere desativar o plugin IT-Recht Kanzlei até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de SQL no endpoint `itrk-api.php`. Restrinja o acesso ao endpoint `itrk-api.php` para minimizar o risco de exploração. Evite usar o parâmetro `rechtstext language` no endpoint afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Zen Cart versão 1.5.6d Descrição: A vulnerabilidade permite um ataque XSS refletido por meio do parâmetro `main page` em arquivos como `includes/templates/template default/common/tpl main page.php` ou `includes/templates/responsive classic/common/tpl main page.php`. Recomendações: Para o Zen Cart versão 1.5.6d, como solução temporária, considere restringir o acesso ao parâmetro `main page` nos arquivos afetados até que um patch esteja disponível.