CVE-2020-29587

**Nome do software vulnerável e versões afetadas:

SimplCommerce versão 1.0.0-rc

Descrição:

O problema decorre do uso da biblioteca Bootbox.js no SimplCommerce, que permite a criação de caixas de diálogo programáticas utilizando modais do Bootstrap. Essa biblioteca não sanitiza as entradas do usuário, resultando em uma vulnerabilidade DOM XSS. A vulnerabilidade ocorre porque a biblioteca utiliza a função jQuery .html() para anexar diretamente a carga útil a uma caixa de diálogo, permitindo a execução de código malicioso.

Recomendações:

Para a versão 1.0.0-rc do SimplCommerce, considere desativar o uso da biblioteca Bootbox.js até que um patch esteja disponível ou restrinja as entradas permitidas para serem anexadas à caixa de diálogo, a fim de impedir a execução de código malicioso. Como solução alternativa temporária, evite usar a função .html() para anexar entradas do usuário à caixa de diálogo.