Plataforma
joomla
Componente
joomla
Corrigido em
4.0.13
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Joomla VirtueMart Shopping-Cart versão 4.0.12. Essa falha permite que atacantes injetem scripts maliciosos em navegadores de usuários, potencialmente comprometendo suas sessões e credenciais. A vulnerabilidade reside na manipulação do parâmetro 'keyword' no endpoint de variantes de produtos. A correção foi publicada e a atualização é recomendada.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute código JavaScript arbitrário no navegador de um usuário. Isso pode levar ao roubo de cookies de sessão, permitindo que o atacante se passe pelo usuário afetado. Além disso, o atacante pode redirecionar o usuário para sites maliciosos, exibir pop-ups falsos ou modificar o conteúdo da página. O impacto potencial é significativo, especialmente em lojas virtuais com dados sensíveis de clientes, como informações de cartão de crédito ou dados pessoais.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração. A avaliação de risco é considerada média devido à facilidade de exploração e ao potencial impacto.
Websites running Joomla with the VirtueMart Shopping-Cart plugin, particularly those using versions 4.0.12 or earlier, are at risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable, as a successful attack on one site could potentially impact others. Sites with custom integrations or extensions built on top of VirtueMart are also at increased risk.
• joomla / wordpress: Examine access logs for requests to product-variants with unusual or suspicious values in the keyword parameter. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep 'keyword=[^a-zA-Z0-9 ]+' /var/log/apache2/access.log• generic web: Use curl to test the product-variants endpoint with a simple XSS payload in the keyword parameter and observe the response for script execution.
curl 'https://example.com/product-variants?keyword=<script>alert(1)</script>'• generic web: Check response headers for Content-Security-Policy (CSP) directives. A strong CSP can mitigate XSS attacks even if the vulnerability exists.
curl -I https://example.com/product-variantsdisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Joomla VirtueMart Shopping-Cart para a versão corrigida assim que estiver disponível. Enquanto isso, medidas temporárias podem ser implementadas. Utilize um Web Application Firewall (WAF) com regras para filtrar solicitações com payloads XSS no parâmetro 'keyword'. Implemente validação e sanitização rigorosas de todos os dados de entrada, especialmente parâmetros de URL. Monitore logs de acesso e erro em busca de atividades suspeitas relacionadas à exploração desta vulnerabilidade.
Actualice VirtueMart a una versión corregida. Consulte el sitio web de VirtueMart para obtener más información sobre las actualizaciones disponibles y las instrucciones de instalación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Scripting (XSS) no Joomla VirtueMart Shopping-Cart 4.0.12 que permite a injeção de scripts maliciosos através da manipulação do parâmetro 'keyword'.
Se você estiver utilizando a versão 4.0.12 do Joomla VirtueMart Shopping-Cart, você está potencialmente afetado. Verifique a versão instalada e atualize o mais rápido possível.
A correção é atualizar para a versão mais recente do Joomla VirtueMart Shopping-Cart. Enquanto isso, utilize um WAF e valide os dados de entrada.
Não há confirmação de exploração ativa no momento, mas o risco é considerado médio devido à facilidade de exploração.
Consulte o site oficial do Joomla para obter informações e atualizações sobre a vulnerabilidade: [https://www.joomla.org/](https://www.joomla.org/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.