PT-2024-27454 · Unknown · Woocommerce+1
Tomalec
·
Publicado
2024-06-12
·
Atualizado
2024-07-23
·
CVE-2024-37297
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 8.8 a 8.8.4 do WooCommerce
Versões 8.9 a 8.9.2 do WooCommerce
Descrição
Uma vulnerabilidade de cross-site scripting no WooCommerce permite que um invasor manipule um link para incluir conteúdo malicioso em HTML e JavaScript. O JavaScript injetado pode sequestrar conteúdo e dados armazenados no navegador, incluindo a sessão. O conteúdo da URL é lido por meio da biblioteca
Sourcebuster.js e, em seguida, inserido sem a devida sanitização nos formulários clássicos de checkout e registro.Recomendações
Para as versões 8.8 a 8.8.4, atualize para a versão 8.8.5 ou posterior.
Para as versões 8.9 a 8.9.2, atualize para a versão 8.9.3 ou posterior.
Como solução temporária, considere desativar o recurso de Atribuição de Pedidos para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sourcebuster.Js
Woocommerce