Ren Hirasawa

**Nome do software vulnerável e versões afetadas: Cybozu Garoon, versões 4.0.0 a 5.5.0 Descrição: Uma vulnerabilidade de cross-site scripting em algumas funções do componente E-Mail ou Group Mail permite que um invasor remoto injete um script arbitrário por meio de vetores não especificados. Recomendações: Para as versões 4.0.0 a 5.5.0 do Cybozu Garoon, atualize para uma versão que inclua uma correção para este problema, a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** LOCKON EC-CUBE versions prior to 2.12.5 **Description** The issue concerns multiple cross-site scripting (XSS) vulnerabilities in the RecommendSearch feature of the management screen. These vulnerabilities allow remote attackers to inject arbitrary web script or HTML via vectors involving the `rank` parameter. **Recommendations** For versions prior to 2.12.5, update to version 2.12.5 or later to resolve the issue. As a temporary workaround, consider restricting access to the RecommendSearch feature in the management screen until the update is applied. Avoid using the `rank` parameter in the affected feature until the issue is resolved.