CVE-2020-19047

**Nome do software vulnerável e versões afetadas:

iWebShop versão 5.3

Descrição:

A vulnerabilidade permite que invasores remotos executem código arbitrário por meio de uma solicitação POST maliciosa ao endpoint da API “/index.php?controller=system&action=admin edit act”. Trata-se de uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF), que é um tipo de ataque que induz o usuário a realizar ações indesejadas em um aplicativo web.

Recomendações:

Para o iWebShop versão 5.3, como solução temporária, considere restringir o acesso ao endpoint da API “/index.php?controller=system&action=admin edit act” até que uma correção esteja disponível. Além disso, evite usar os parâmetros controller e action neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.