Craft Commerce — это платформа электронной коммерции для Craft CMS. До версий 4.10.2 и 5.5.3 в деталях Craft Commerce Order существовала уязвимость хранимого межсайтового скриптинга (XSS). Вредоносный код JavaScript может быть внедрен через имя метода доставки, ссылку на заказ или имя сайта.
Когда пользователь открывает слайдер сведений о заказе двойным щелчком мыши на странице индекса заказа, выполняется внедренная полезная нагрузка. Эта уязвимость исправлена в версиях 4.10.2 и 5.5.3.
Показать оригинальное описание (EN)
Craft Commerce is an ecommerce platform for Craft CMS. Prior to 4.10.2 and 5.5.3, a Stored Cross-Site Scripting (XSS) vulnerability exists in the Craft Commerce Order details. Malicious JavaScript can be injected via the Shipping Method Name, Order Reference, or Site Name. When a user opens the order details slideout via a double-click on the order index page, the injected payload executes. This vulnerability is fixed in 4.10.2 and 5.5.3.
Характеристики атаки
Последствия
Строка CVSS v4.0