Katalog CVE

CVE-2021-42193

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W nopCommerce 4.40.3 odkryto podatność na atak XSS w polu nazwy produktu na stronie /Admin/Product/Edit/[id]. Za każdym razem, gdy użytkownik przegląda produkt w sklepie, ładunek XSS jest wykonywany.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce każdego użytkownika odwiedzającego stronę produktu, co może prowadzić do kradzieży sesji, przekierowań lub kradzieży danych.

Rekomendacja

Zaleca się natychmiastową aktualizację nopCommerce do najnowszej wersji oraz zastosowanie odpowiedniego filtrowania i kodowania danych wejściowych w polu nazwy produktu.

Oryginalny opis (angielski, źródło NVD)

nopCommerce 4.40.3 is vulnerable to XSS in the Product Name at /Admin/Product/Edit/[id]. Each time a user views the product in the shop, the XSS payload fires.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS