PT-2021-17309 · Unknown · Peel Shopping
Anmol K Sachan
·
Publicado
2021-02-12
·
Atualizado
2021-12-07
·
CVE-2021-27190
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
PEEL SHOPPING, versões 9.3.0 a 9.4.0
Descrição:
Foi descoberta uma vulnerabilidade de Stored Cross Site Scripting (XSS), permitindo que um invasor insira código JavaScript malicioso. Isso pode levar ao roubo de cookies ou ao redirecionamento de usuários para sites maliciosos. A vulnerabilidade ocorre quando uma entrada fornecida pelo usuário contendo uma carga poliglota é repetida no código JavaScript dentro de uma resposta HTML.
Recomendações:
Para as versões 9.3.0 e 9.4.0, considere desativar a funcionalidade
change params.php como uma solução temporária até que um patch esteja disponível.Restrinja o acesso ao endpoint
utilisateurs/change params.php para minimizar o risco de exploração.Evite usar entradas fornecidas pelo usuário em código JavaScript dentro de respostas HTML até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Peel Shopping