CVE-2021-39412

**Nome do software vulnerável e versões afetadas:

PHPGurukul Shopping versão 3.1

Descrição:

Existem várias vulnerabilidades de Cross Site Scripting (XSS) no software. As falhas foram identificadas no parâmetro callback em vários pontos de extremidade da API: “server side/scripts/id jsonp.php”, “server side/scripts/jsonp.php” e “scripts/objects jsonp.php”, no parâmetro value em “examples support/editable ajax.php” e no parâmetro PHP SELF em “captcha/index.php”.

Recomendações:

Para o PHPGurukul Shopping versão 3.1, considere desativar os parâmetros vulneráveis callback e value nos pontos de extremidade da API afetados até que um patch esteja disponível. Restrinja o acesso aos scripts vulneráveis, como “id jsonp.php”, “jsonp.php”, “objects jsonp.php”, “editable ajax.php” e “captcha/index.php”, para minimizar o risco de exploração. Evite usar o parâmetro PHP SELF em “captcha/index.php” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.