PT-2022-22869 · Eshop · Eshop
Keyvan Hardani
·
Publicado
2022-08-08
·
Atualizado
2022-08-12
·
CVE-2022-35493
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
eShop - Site de loja virtual multifuncional, versão 3.0.4
Descrição
Existe uma vulnerabilidade de script entre sites (XSS) na análise da pesquisa JSON e na resposta JSON, permitindo que invasores remotos injetem scripts da Web ou HTML arbitrários por meio do parâmetro “get products?search”. Isso permite que invasores executem scripts maliciosos no lado do cliente.
Recomendações
Para o eShop - Site de loja de comércio eletrônico multifuncional versão 3.0.4, considere restringir o acesso ao parâmetro
get products?search até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro search no endpoint da API afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eshop