PT-2021-20204 · Shopizer · Shopizer
Marek Toth
·
Publicado
2021-05-24
·
Atualizado
2021-06-08
·
CVE-2021-33561
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Shopizer anteriores à 2.17.0
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores remotos injetem scripts web ou HTML arbitrários por meio da variável
customer name em vários formulários de administração da loja. O código injetado é salvo no banco de dados e executado quando as informações são buscadas do backend para qualquer usuário da administração da loja, por exemplo, no endpoint “admin/customers/list.html”.Recomendações
Para versões anteriores à 2.17.0, atualize para a versão 2.17.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos formulários de administração da loja que utilizam a variável
customer name para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopizer