CVE-2025-51541

Nome do Software Vulnerável e Versões Afetadas Shopware 6 (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na interface de instalação do Shopware 6. O campo c database schema não sanitiza adequadamente a entrada fornecida pelo usuário antes de renderizá-la no navegador, permitindo que um atacante injete JavaScript malicioso. Esta vulnerabilidade pode ser explorada por meio de um ataque de Cross-Site Request Forgery (CSRF) devido à ausência de proteções CSRF na requisição POST. Um atacante remoto não autenticado pode criar uma página web maliciosa que, quando visitada por uma vítima, armazena o payload persistentemente na configuração de instalação. Como resultado, o payload é executado sempre que qualquer usuário acessa posteriormente a página de instalação vulnerável, levando à execução persistente de código no lado do cliente. O endpoint da API vulnerável é /recovery/install/database-configuration/. O parâmetro vulnerável é c database schema.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.