Craft Commerce — это платформа электронной коммерции для Craft CMS. До версии 5.5.3 на странице «Настройки торговли — Расположение инвентаря» существовала сохраненная уязвимость XSS. Поле «Имя» отображается без надлежащего экранирования HTML, что позволяет злоумышленнику выполнить произвольный код JavaScript.
Этот XSS срабатывает, когда администратор (или пользователь с разрешениями на редактирование продукта) создает или редактирует вариант продукта. Эта уязвимость исправлена в версии 5.5.3.
Показать оригинальное описание (EN)
Craft Commerce is an ecommerce platform for Craft CMS. Prior to 5.5.3, A stored XSS vulnerability exists in the Commerce Settings - Inventory Locations page. The Name field is rendered without proper HTML escaping, allowing an attacker to execute arbitrary JavaScript. This XSS triggers when an administrator (or user with product editing permissions) creates or edits a variant product. This vulnerability is fixed in 5.5.3.
Характеристики атаки
Последствия
Строка CVSS v4.0