CVE-2025-47289

Nome do Software Vulnerável e Versões Afetadas Versões do CE Phoenix de 1.0.9.9 a 1.1.0.2

Descrição Foi identificada uma vulnerabilidade de cross-site scripting (XSS) armazenado no CE Phoenix, na qual um atacante pode injetar JavaScript malicioso no campo de descrição de depoimento. Se o proprietário da loja aprovar o depoimento, o script é executado no contexto de qualquer usuário que visite a página de depoimentos. Os cookies de sessão podem ser exfiltrados pelo atacante, pois não estão marcados com a flag HttpOnly, o que pode levar potencialmente ao sequestro de conta.

Recomendações Para as versões de 1.0.9.9 a 1.1.0.2, atualize para a versão 1.1.0.3 para corrigir o problema. Como solução temporária, considere restringir o acesso ao campo de descrição de depoimento até que a atualização seja aplicada.