Mhe4Am

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 4.10.2 Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a Stored Cross-Site Scripting (XSS) issue in the Order details section. An attacker can inject malicious JavaScript code through the Shipping Method Name, Order Reference, or Site Name. When a user opens the order details slideout by double-clicking on the order index page, the injected code will execute. **Recommendations** Update to Craft Commerce version 4.10.2 or later. Update to Craft Commerce version 5.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 4.10.2 Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, has a SQL Injection issue in the purchasables table endpoint. The `sort` parameter is split and the column name part is passed to the `orderBy()` function without proper validation. Yii2’s query builder does not escape array keys, which allows an authenticated attacker to inject SQL into the `ORDER BY` clause. The vulnerable endpoint is '/purchasables'. The vulnerable parameter is `sort`. **Recommendations** Update to Craft Commerce version 4.10.2 or later. Update to Craft Commerce version 5.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 4.10.2 Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting issue. The issue occurs when a user attempts to update the Order Status from the Commerce Orders Table. The Order Status Name is rendered without proper escaping, which allows for script execution. **Recommendations** Update to Craft Commerce version 4.10.2 or later. Update to Craft Commerce version 5.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, has a SQL Injection issue in the inventory levels table data endpoint. The `sort[0][direction]` and `sort[0][sortField]` parameters are directly added to an `addOrderBy()` clause without proper validation or sanitization. An authenticated attacker with access to the Commerce Inventory section can inject SQL queries, potentially compromising the entire database. **Recommendations** Update to version 5.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting issue in the Commerce Inventory page. The Product Title, Variant Title, and Variant SKU fields do not have proper HTML escaping, which allows an attacker to execute arbitrary JavaScript when a user views the inventory management page. This affects all users, including administrators. **Recommendations** Update to version 5.5.3 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions prior to 5.5.3 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting (XSS) issue. The issue is present in the Commerce Settings - Inventory Locations page where the `Name` field is not properly sanitized before being displayed, allowing an attacker to inject and execute arbitrary JavaScript code. This can be triggered when an administrator or a user with product editing permissions creates or edits a variant product. **Recommendations** Update to version 5.5.3 or later.

Nome do Software Vulnerável e Versões Afetadas Versões do Craft CMS anteriores a 4.17.0-beta.1 e 5.9.0-beta.1 Descrição O Craft é um sistema de gerenciamento de conteúdo (CMS). Um administrador autenticado pode alcançar Execução Remota de Código (RCE) ao injetar um payload de Injeção de Template do Lado do Servidor (SSTI) em campos de template Twig, como Modelos de E-mail. Ao chamar o método `craft.app.fs.write()`, um invasor pode escrever um script PHP malicioso em um diretório acessível na web e, posteriormente, acessá-lo por meio de um navegador para executar comandos de sistema arbitrários. A vulnerabilidade também permite a divulgação de informações sensíveis, incluindo credenciais de banco de dados e a chave de segurança, por meio do acesso às propriedades de `craft.app`. Recomendações Atualize o Craft CMS para a versão 4.17.0-beta.1 ou posterior. Atualize o Craft CMS para a versão 5.9.0-beta.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft anteriores a 4.17.0-beta.1 Versões do Craft anteriores a 5.9.0-beta.1 **Descrição** O processo de criação de entradas permite a Atribuição em Massa do atributo `authorId`. Um usuário com permissão "Criar Entradas" pode injetar o parâmetro `authorIds[]` ou `authorId` na requisição POST. O backend processa esse parâmetro sem verificar se o usuário atual está autorizado a atribuir autoria a outros. Normalmente, esse campo não está presente na requisição para usuários sem as permissões necessárias. Ao adicionar manualmente esse parâmetro, um atacante pode atribuir a nova entrada a qualquer usuário, efetivamente "falsificando" a autoria. Isso poderia permitir que um atacante publique conteúdo malicioso ou inadequado atribuído a um administrador ou outros usuários confiáveis, possivelmente contornando processos de revisão ou ganhando confiança com base em uma autoria falsa. **Recomendações** Versões anteriores a 4.17.0-beta.1 devem ser atualizadas para 4.17.0-beta.1 ou posterior. Versões anteriores a 5.9.0-beta.1 devem ser atualizadas para 5.9.0-beta.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft anteriores a 5.9.0-beta.1 Versões do Craft anteriores a 4.17.0-beta.1 **Descrição** O Craft é um sistema de gerenciamento de conteúdo (CMS). Existe uma falha na qual a ação "Duplicar" de entrada não verifica corretamente as permissões do usuário para elementos-alvo específicos. Mesmo com permissão limitada de "Visualizar Entradas", um usuário pode contornar restrições da interface do usuário ao enviar uma solicitação direta. Isso permite a duplicação de entradas de outros usuários ao especificar seus IDs de Entrada. Como os IDs de Entrada são incrementais, um invasor pode, potencialmente, realizar um ataque de força bruta nesses IDs para duplicar e acessar conteúdo restrito. A vulnerabilidade pode ser explorada por meio de uma solicitação direta ao endpoint da API "/index.php?p=admin%2Factions%2Felement-indexes%2Fperform-action", utilizando o parâmetro `elementIds`. A solicitação requer um token `CSRF` válido e um cookie. **Recomendações** As versões do Craft anteriores a 5.9.0-beta.1 devem ser atualizadas para a versão 5.9.0-beta.1 ou posterior. As versões do Craft anteriores a 4.17.0-beta.1 devem ser atualizadas para a versão 4.17.0-beta.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft anteriores a 5.9.0 Versões do Craft anteriores a 4.17.0 **Descrição** O Craft é um sistema de gerenciamento de conteúdo (CMS). O sistema utiliza uma lista de bloqueio para evitar que funções PHP potencialmente perigosas sejam chamadas por meio de funções seta não Closure do Twig. Várias funções PHP não foram incluídas nessa lista de bloqueio, o que potencialmente permite que atores maliciosos com as permissões necessárias executem cargas maliciosas, incluindo execução remota de código (RCE), leitura arbitrária de arquivos, falsificação de solicitação do lado do servidor (SSRF) e injeção de template do lado do servidor (SSTI). Para explorar com sucesso, um atacante precisa ter `allowAdminChanges` habilitado em produção, uma conta de administrador comprometida ou uma conta com acesso ao utilitário System Messages. O Twig descontinuou o comportamento que permitia isso e ele será removido completamente do Twig no futuro. **Recomendações** Versões anteriores a 5.9.0 devem ser atualizadas para a versão 5.9.0. Versões anteriores a 4.17.0 devem ser atualizadas para a versão 4.17.0 e a configuração `enableTwigSandbox` deve ser habilitada.

**Nome do Software Vulnerável e Versões Afetadas** Craft versões 4.5.0-RC1 até 4.16.18 Craft versões 5.0.0-RC1 até 5.8.22 **Descrição** O Craft é um sistema de gerenciamento de conteúdo (SGC) que apresenta um problema de Cross-site Scripting (XSS) armazenado no componente `editableTable.twig` ao utilizar o tipo de coluna `html`. A aplicação não sanitiza adequadamente a entrada, permitindo que um atacante execute JavaScript arbitrário quando outro usuário visualiza uma página contendo o campo de tabela malicioso. Para explorar essa vulnerabilidade, o atacante precisa de uma conta de administrador e o `allowAdminChanges` deve estar habilitado em produção. O componente vulnerável é o `editableTable.twig`, especificamente ao usar o tipo de coluna `html`. O parâmetro vulnerável é `types[craft-fields-Table][columns][col3][type]`. **Recomendações** Craft versões 4.5.0-RC1 até 4.16.18: atualize para a versão 4.16.19 ou posterior. Craft versões 5.0.0-RC1 até 5.8.22: atualize para a versão 5.8.23 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 4.0.0-RC1 até 4.16.17 Versões do Craft 5.0.0-RC1 até 5.8.21 **Descrição** O Craft é uma plataforma para criação de experiências digitais. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado nas configurações do tipo de campo Number. Os campos Prefixo e Sufixo são renderizados utilizando o filtro Twig |md|raw sem o devido escape, o que permite a execução de scripts quando o campo Number é exibido nos perfis dos usuários. Os campos vulneráveis estão suscetíveis devido à falta de sanitização adequada da entrada. **Recomendações** Atualize para a versão 4.16.18 do Craft ou posterior. Atualize para a versão 5.8.22 do Craft ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 5.0.0-RC1 até 5.8.21 **Descrição** O Craft está suscetível a um problema de cross-site scripting (XSS) armazenado devido à sanitização insuficiente dos nomes dos Tipos de Entrada. Especificamente, o aplicativo não sanitiza corretamente o nome ao exibí-lo na lista de Tipos de Entrada. Um atacante com acesso de administrador e `allowAdminChanges` habilitado pode injetar código malicioso, como um payload JavaScript, no campo de nome do Tipo de Entrada. Este código injetado será então executado quando outros administradores visualizarem a lista de Tipos de Entrada no endpoint `/admin/settings/entry-types`. A vulnerabilidade é acionada ao fornecer uma entrada manipulada como `<img src=x onerror="alert('XSS-EntryTypes')" hidden>` como o nome do Tipo de Entrada. **Recomendações** As versões do Craft 5.0.0-RC1 até 5.8.21 devem ser atualizadas para a versão 5.8.22 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 4.0.0-RC1 até 4.16.17 Versões do Craft 5.0.0-RC1 até 5.8.21 **Descrição** A mutação GraphQL `saveAsset` valida o nome do host da URL inicial e o IP resolvido contra uma lista de bloqueio, mas o Guzzle segue redirecionamentos HTTP por padrão. Isso permite que um atacante contorne as proteções contra Server-Side Request Forgery (SSRF) hospedando um redirecionamento que aponte para endpoints de metadados de nuvem ou quaisquer endereços IP internos. A aplicação valida a URL inicial, mas o comportamento de redirecionamento do Guzzle contorna essa validação. A mutação utiliza o endpoint GraphQL `/saveAsset` com o parâmetro `url`. O parâmetro `url` é usado para especificar a localização do ativo a ser salvo. **Recomendações** Versões do Craft anteriores a 4.16.18 estão afetadas. Versões do Craft anteriores a 5.8.22 estão afetadas. Desative os redirecionamentos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 4.0.0-RC1 até 4.16.17 Versões do Craft 5.0.0-RC1 até 5.8.21 **Descrição** A mutação GraphQL `saveAsset` do Craft não valida corretamente os endereços IP utilizados para acessar os serviços de metadados na nuvem. O aplicativo utiliza `filter var(..., FILTER VALIDATE IP)` para bloquear uma lista de endereços IP, mas essa função não reconhece notações alternativas de IP, como formatos hexadecimais ou mistos. Isso permite que atacantes contornem a lista de bloqueio e potencialmente acessem metadados na nuvem. O componente vulnerável é a mutação `saveAsset`. O parâmetro vulnerável é o endereço IP utilizado na solicitação. **Recomendações** Atualize para a versão 4.16.18 do Craft ou posterior. Atualize para a versão 5.8.22 do Craft ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft 4.0.0-RC1 até 4.16.17 Versões do Craft 5.0.0-RC1 até 5.8.21 **Descrição** O Craft é uma plataforma para criação de experiências digitais. O endpoint da API `element-indexes/get-elements` é vulnerável a Injeção de SQL através do parâmetro `criteria[orderBy]` dentro do corpo JSON. A aplicação não sanitiza adequadamente a entrada recebida através deste parâmetro antes de utilizá-la em consultas ao banco de dados. Um atacante autenticado com acesso ao Painel de Controle pode injetar SQL arbitrário na cláusula ORDER BY omitindo `viewState[order]` ou definindo ambos para o mesmo payload. **Recomendações** Atualize para a versão 4.16.18 do Craft ou posterior. Atualize para a versão 5.8.22 do Craft ou posterior.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions 4.0.0-RC1 through 4.10.0 Craft Commerce versions 5.0.0 through 5.5.1 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting (XSS) issue. The issue resides in the Tax Rates 'Name' field within the Store Management section, which does not properly sanitize input before displaying it in the admin panel. This allows attackers to inject malicious JavaScript code that executes in an administrator's browser. An attacker could potentially escalate privileges to administrator by exploiting this issue, especially if an elevated session exists. The attacker can also create a fake 'Session Expired' login modal overlay to steal administrator credentials. The vulnerable field is located at `/admin/commerce/store-management/primary/taxrates`. The `Name` field is the vulnerable parameter. **Recommendations** Craft Commerce versions 4.0.0-RC1 through 4.10.0: Upgrade to version 4.10.1 or later. Craft Commerce versions 5.0.0 through 5.5.1: Upgrade to version 5.5.2 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions 4.0.0-RC1 through 4.10.0 Craft Commerce versions 5.0.0 through 5.5.1 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting (XSS) issue. The issue stems from insufficient sanitization of the `Name` and `Description` fields within `Tax Zones` before display in the admin panel. This allows attackers to inject and execute malicious JavaScript code in an administrator’s browser. An attacker could potentially escalate privileges to administrator level by exploiting this issue, especially if an elevated session is present. The attacker can leverage the XSS to create a fake 'Session Expired' login modal overlay, tricking administrators into submitting their credentials. The affected API endpoint is `/admin/commerce/store-management/primary/taxzones`. The vulnerable parameters are the `Name` and `Description` fields. **Recommendations** Craft Commerce versions 4.0.0-RC1 through 4.10.0 should be upgraded to version 4.10.1 or later. Craft Commerce versions 5.0.0 through 5.5.1 should be upgraded to version 5.5.2 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions 4.0.0-RC1 through 4.10.0 Craft Commerce versions 5.0.0 through 5.5.1 **Description** Craft Commerce, an ecommerce platform for Craft CMS, contains a stored cross-site scripting (XSS) issue. The issue stems from insufficient sanitization of the 'Address Line 1' field within Inventory Locations before display in the admin panel. This allows attackers to inject malicious JavaScript code that executes in an administrator’s browser. An attacker could potentially escalate privileges to administrator level by exploiting this issue, especially if an elevated session exists. The proof of concept demonstrates that an attacker can inject a payload into the 'Address Line 1' field, which then executes JavaScript when the page is loaded. A malicious payload can be used to steal administrator credentials through a fake login modal or directly elevate the attacker’s account to admin status. **Recommendations** Craft Commerce versions 4.0.0-RC1 through 4.10.0 should be upgraded to version 4.10.1 or later. Craft Commerce versions 5.0.0 through 5.5.1 should be upgraded to version 5.5.2 or later.

**Name of the Vulnerable Software and Affected Versions** Craft Commerce versions 4.0.0-RC1 through 4.10.0 Craft Commerce versions 5.0.0 through 5.5.1 **Description** A stored DOM Cross-Site Scripting (XSS) issue exists within the "Recent Orders" dashboard widget. The Order Status Name is rendered using JavaScript string concatenation without appropriate escaping, which allows for script execution when an administrator accesses the dashboard. The issue occurs because the `value.name` variable, representing the Order Status Name, is directly concatenated into an HTML string without sanitization. This allows malicious tags or scripts within the name to be executed when the HTML is inserted into the DOM. The vulnerable file is `vendor/craftcms/commerce/src/templates/ components/widgets/orders/recent/body.twig`. **Recommendations** Craft Commerce versions 4.0.0-RC1 through 4.10.0: Update to version 4.10.1 or later. Craft Commerce versions 5.0.0 through 5.5.1: Update to version 5.5.2 or later.