CVE-2021-42193
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
W nopCommerce 4.40.3 odkryto podatność na atak XSS w polu nazwy produktu na stronie /Admin/Product/Edit/[id]. Za każdym razem, gdy użytkownik przegląda produkt w sklepie, ładunek XSS jest wykonywany.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce każdego użytkownika odwiedzającego stronę produktu, co może prowadzić do kradzieży sesji, przekierowań lub kradzieży danych.
Rekomendacja
Zaleca się natychmiastową aktualizację nopCommerce do najnowszej wersji oraz zastosowanie odpowiedniego filtrowania i kodowania danych wejściowych w polu nazwy produktu.
Oryginalny opis (angielski, źródło NVD)
nopCommerce 4.40.3 is vulnerable to XSS in the Product Name at /Admin/Product/Edit/[id]. Each time a user views the product in the shop, the XSS payload fires.

