CVE-2021-47924

Nome do Software Vulnerável e Versões Afetadas Ultimate Product Catalog versão 5.8.2

Descrição Uma falha de cross-site scripting armazenada permite que atacantes autenticados injetem scripts maliciosos. Isso é feito enviando requisições POST para o endpoint 'post.php' utilizando o parâmetro price para incluir payloads de HTML ou JavaScript, que então executam código arbitrário quando um produto é visualizado.

Recomendações Como medida paliativa temporária, restrinja ou valide a entrada do parâmetro price no endpoint 'post.php'. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.