Rgrebenchuk

**Nome do software vulnerável e versões afetadas** Versões do OroCommerce 4.1.0 a 4.1.17 Versões do OroCommerce 4.2.0 a 4.2.11 Versões do OroCommerce 5.0.0 a 5.0.3 **Descrição** A vulnerabilidade diz respeito a Cross-site Scripting no campo “UPS Surcharge” da página de edição da regra de envio. Um invasor precisa de permissão para criar ou editar uma regra de envio para explorar essa vulnerabilidade. **Recomendações** Para as versões 4.1.0 a 4.1.17, atualize para uma versão posterior à 5.0.3, especificamente para a versão 5.0.6 ou posterior. Para as versões 4.2.0 a 4.2.11, atualize para uma versão posterior à 5.0.3, especificamente para a versão 5.0.6 ou posterior. Para as versões 5.0.0 a 5.0.3, atualize para a versão 5.0.6 ou posterior.

**Nome do software vulnerável e versões afetadas** OroPlatform (versões afetadas não especificadas) **Descrição** A visualização de modelos de e-mail no OroPlatform está vulnerável a cargas XSS inseridas no conteúdo dos modelos. Um invasor precisa ter permissão para criar ou editar um modelo de e-mail. Para que a carga seja executada com sucesso, o usuário atacado deve visualizar um modelo de e-mail vulnerável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do OroPlatform anteriores à 4.2.8 **Descrição** A vulnerabilidade permite que um invasor injete propriedades em protótipos de construções da linguagem JavaScript existentes, como objetos, enviando uma solicitação especialmente criada para esse fim. Essa injeção pode levar à execução de código JavaScript por bibliotecas vulneráveis à contaminação de protótipos (Prototype Pollution). **Recomendações** Para versões anteriores à 4.2.8, atualize para a versão 4.2.8 para resolver o problema. Como solução alternativa temporária, considere configurar um firewall ou WAF para rejeitar solicitações contendo as strings: ` proto `, `constructor[prototype]` e `constructor.prototype` para mitigar este problema.

**Nome do software vulnerável e versões afetadas** OroCRM (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor desqualifique qualquer lead por meio de um ataque de falsificação de solicitação entre sites (CSRF). Não há soluções alternativas para resolver esse problema. Recomenda-se que todos os usuários atualizem o pacote. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.