CVE-2025-68147

Nome do Software Vulnerável e Versões Afetadas Open Source Point of Sale versões 3.4.0 a 3.4.1

Descrição Open Source Point of Sale é uma aplicação de ponto de venda baseada na web, escrita em PHP utilizando o framework CodeIgniter. Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) existe no campo de configuração "Return Policy" nas versões 3.4.0 a 3.4.1. A aplicação não sanitiza adequadamente a entrada do usuário antes de salvá-la no banco de dados ou exibi-la nos recibos. Um atacante com acesso à "Store Configuration" pode injetar payloads maliciosos de JavaScript neste campo. Esses payloads são executados no navegador de qualquer usuário quando ele visualiza um recibo ou conclui uma transação, potencialmente levando ao sequestro de sessão ou roubo de dados sensíveis. A vulnerabilidade deve-se à falta de escape de saída adequado ao exibir o campo "Return Policy" nos recibos.

Recomendações Atualize para a versão 3.4.2, que inclui uma correção que realiza o escape da saída utilizando a função esc() no template de recibo. Como mitigação temporária, garanta que o campo "Return Policy" contenha apenas texto simples e evite inserir quaisquer tags HTML.