CVE-2022-23072

Recipes, versões 1.0.5 a 1.2.5

A vulnerabilidade diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado na funcionalidade “Adicionar ao carrinho”. Quando uma vítima acessa a página da lista de alimentos, adiciona um novo alimento com uma carga maliciosa de JavaScript no parâmetro Name e clica no ícone “Adicionar ao carrinho de compras”, uma carga XSS é acionada. Isso poderia permitir que um invasor com privilégios limitados obtivesse a chave API da vítima, levando potencialmente à invasão da conta de administrador.

Para as versões 1.0.5 a 1.2.5, como solução temporária, considere desativar a funcionalidade “Adicionar ao carrinho” ou restringir o uso do parâmetro Name no endpoint da API afetado até que uma correção esteja disponível. Evite usar o parâmetro Name na funcionalidade “Adicionar ao carrinho” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.