CVE-2024-40746

ALT (7,2)

CVSS3: 7,0

El component d’Hikashop per a Joomla és vulnerable a la injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot podria explotar aquesta vulnerabilitat fent servir el camp de descripció per injectar un script maliciós a una pàgina web que s’executaria al navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima. Una vulnerabilitat d’injecció indirecta de scripts (XSS) emmagatzemada a HikaShop Joomla Component < 5.1.1 permet als atacants remots executar JavaScript arbitrari al navegador web d’un usuari, mitjançant la inclusió d’una càrrega útil maliciosa al paràmetre “description” de qualsevol producte. El paràmetre ‘description’ no està desinfectat al back-end.

Sistemes Afectats

• Hikashop HikaShop component for Joomla 1.0.0
• HikaShop HikaShop component for Joomla 5.1.0

Remediació
No hi ha cap recurs disponible a partir del 21 d’octubre de 2024.

Referències

• https://www.hikashop.com/