CVE-2020-12058

Versões do osCommerce CE Phoenix anteriores à 1.0.6.0

A vulnerabilidade permite que um invasor injete e execute código JavaScript arbitrário. Isso pode ser feito injetando código malicioso em parâmetros específicos, incluindo o parâmetro page em várias páginas de administração, como “catalog/admin/order status.php”, “catalog/admin/tax rates.php”, “catalog/admin/languages.php”, “catalog/admin/countries.php”, “catalog/admin/tax classes.php”, “catalog/admin/reviews.php” ou “catalog/admin/zones.php”; ou o parâmetro zpage ou spage em “catalog/admin/geo zones.php”.

Para versões anteriores à 1.0.6.0, atualize para a versão 1.0.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas de administração e parâmetros vulneráveis até que a atualização seja aplicada. Evite usar os parâmetros page, zpage ou spage nos pontos de extremidade da API afetados até que o problema seja resolvido.