PT-2021-20205 · Shopizer · Shopizer
Marek Toth
·
Publicado
2021-05-24
·
Atualizado
2021-06-08
·
CVE-2021-33562
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Shopizer anteriores à 2.17.0
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio do parâmetro
ref em uma página sobre um produto qualquer, por exemplo, uma URL do tipo “product/insert-product-name-here.html/ref=”. Isso permite que invasores executem scripts maliciosos no lado do cliente.Recomendações
Para versões anteriores à 2.17.0, atualize para a versão 2.17.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro
ref na URL afetada para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopizer