Mpysiak

**Nome do software vulnerável e versões afetadas** Versões do Sylius anteriores à 1.12.16 e à 1.13.1 **Descrição** Existe a possibilidade de executar código JavaScript no painel de administração. Para realizar um ataque XSS, insira um script no campo `Nome` em qualquer um dos recursos: Taxons, Produtos, Opções de Produto ou Variantes de Produto. O código será executado ao usar um campo de autocompletar com uma das entidades listadas no painel de administração. Além disso, para os taxons na árvore de categorias no formulário do produto. **Recomendações** Para versões anteriores à 1.12.16 e 1.13.1, aplique as seguintes soluções alternativas: 1. Crie um novo arquivo `assets/admin/sylius-lazy-choice-tree.js` com o código JavaScript fornecido para sanitizar a entrada. 2. Crie um novo arquivo `assets/admin/sylius-auto-complete.js` com o código JavaScript fornecido para sanitizar a entrada. 3. Crie um novo arquivo `assets/admin/sylius-product-auto-complete.js` com o código JavaScript fornecido para sanitizar a entrada. 4. Adicione novas importações em `assets/admin/entry.js` para os arquivos criados. 5. Recompile os recursos usando `yarn build`. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.