漏洞标题
Sylius可能会受到通过Admin Panel中的"Name"字段(Taxons,Products,Options,Variants)进行跨站脚本攻击的潜在威胁。
漏洞描述信息
Sylius是一个开源的电子商务平台。在1.12.16和1.13.1版本之前,存在可以在管理面板中执行JavaScript代码的可能性。为了执行XSS攻击,可以在以下资源的“名称”字段中输入脚本:分类(Taxons)、产品(Products)、产品选项(Product Options)或产品变体(Product Variants)。当在管理面板中使用包含上述实体的自动完成字段时,代码将被执行。此外,该问题也存在于产品表单中的分类树中的税收中。此问题已在版本1.12.16、1.13.1中得到修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Sylius potentially vulnerable to Cross Site Scripting via "Name" field (Taxons, Products, Options, Variants) in Admin Panel
漏洞描述信息
Sylius is an open source eCommerce platform. Prior to 1.12.16 and 1.13.1, there is a possibility to execute javascript code in the Admin panel. In order to perform an XSS attack input a script into Name field in which of the resources: Taxons, Products, Product Options or Product Variants. The code will be executed while using an autocomplete field with one of the listed entities in the Admin Panel. Also for the taxons in the category tree on the product form.The issue is fixed in versions: 1.12.16, 1.13.1.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Sylius 跨站脚本漏洞
漏洞描述信息
Sylius是波兰Sylius公司的一套基于Symfony框架的开源电子商务平台。 Sylius 1.12.16及1.13.1之前版本存在跨站脚本漏洞,该漏洞源于可以在管理面板中执行 javascript 代码。
CVSS信息
N/A
漏洞类别
跨站脚本