Joomla HikaShop 4.7.4 contém uma vulnerabilidade de Cross-Site Scripting (XSS) refletida que permite que atacantes não autenticados injetem scripts maliciosos manipulando parâmetros GET no endpoint de filtro de produtos. Atacantes podem criar URLs maliciosas contendo payloads XSS nos parâmetros from_option, from_ctrl, from_task ou from_itemid para roubar tokens de sessão ou credenciais de login quando as vítimas visitam o link.

A vulnerabilidade CVE-2023-54364 no Joomla HikaShop 4.7.4 representa um risco significativo devido a uma falha de Cross-Site Scripting (XSS) refletido. Esta vulnerabilidade permite que atacantes não autenticados injetem scripts maliciosos no site simplesmente manipulando os parâmetros GET no endpoint de filtragem de produtos. O impacto potencial é grave, pois um atacante pode roubar tokens de sessão, credenciais de login ou até mesmo redirecionar usuários para sites maliciosos. A falta de uma correção oficial agrava a situação, exigindo que os administradores tomem medidas preventivas imediatas para proteger seus sites Joomla. A vulnerabilidade é explorada através de parâmetros como 'fromoption', 'fromctrl', 'fromtask' e 'fromitemid', facilitando a criação de URLs maliciosas.

Websites utilizing Joomla CMS with the HikaShop e-commerce extension are at risk. Specifically, sites running versions of HikaShop prior to 4.7.4 are vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites using the vulnerable HikaShop version.

• joomla / wordpress: Examine web server access logs for requests containing suspicious GET parameters (fromoption, fromctrl, fromtask, fromitemid) with encoded characters or JavaScript payloads.

grep -i 'from_option=[^a-zA-Z0-9_]+|from_ctrl=[^a-zA-Z0-9_]+|from_task=[^a-zA-Z0-9_]+|from_itemid=[^a-zA-Z0-9_]+' /var/log/apache2/access.log

• generic web: Use curl to test the product filter endpoint with various XSS payloads in the GET parameters and observe the response for signs of script execution.

curl 'https://example.com/hikashop/index.php?option=com_hikashop&view=product&filter_category_id=1&from_option=<script>alert("XSS")</script>'

1. 2026-04-09Disclosure

   disclosure

1. Reservado2026-04-09
2. Publicada2026-04-09
3. Modificada2026-04-15
4. EPSS atualizado2026-04-17

Dada a ausência de uma correção oficial para CVE-2023-54364, a mitigação se concentra em medidas preventivas. A recomendação principal é atualizar para a versão mais recente do HikaShop disponível, mesmo que não aborde diretamente esta vulnerabilidade, pois pode incluir patches de segurança adicionais. Além disso, sugere-se implementar uma validação e higienização rigorosas de todas as entradas de usuário, especialmente nos parâmetros GET. O uso de um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas. Monitorar os logs do site em busca de atividade suspeita, como solicitações com parâmetros GET incomuns, é crucial. Finalmente, educar os usuários sobre os riscos de clicar em links suspeitos pode reduzir o risco de exploração.