PT-2026-41359 · Vvveb · Vvveb
Publicado
2026-05-15
·
Atualizado
2026-05-15
·
CVE-2026-45622
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Vvveb versões anteriores a 1.0.8.3
Descrição
Um problema de cross-site scripting (XSS) refletido não autenticado existe no formulário público de devolução de produtos. O parâmetro POST
customer order id é inserido em uma mensagem de erro quando a busca de um pedido falha, e essa mensagem é renderizada no template do frontend sem a devida codificação HTML. Isso permite que HTML ou JavaScript controlado por um invasor seja executado no navegador do usuário que envia o formulário.Recomendações
Atualizar para a versão 1.0.8.3.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vvveb