PT-2025-49140 · Unknown · Loaded Commerce
Tmrswrr
·
Publicado
2025-12-04
·
Atualizado
2026-05-26
·
CVE-2025-66572
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Loaded Commerce versão 6.6
Descrição
O Loaded Commerce contém uma injeção de template no lado do cliente (client-side template injection), que ocorre quando entradas de usuário não confiáveis são incorporadas em um template web, permitindo que um invasor injete seus próprios templates. Este problema permite que invasores não autenticados executem código arbitrário no contexto do navegador da vítima ou no servidor por meio do parâmetro
search.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Loaded Commerce