CVE-2020-13980
https://notcve.org/view.php?id=CVE-2020-13980
OpenCart 3.0.3.3 allows remote authenticated users to conduct XSS attacks via a crafted filename in the users' image upload section because of a lack of entity encoding. NOTE: this issue exists because of an incomplete fix for CVE-2020-10596. The vendor states "this is not a massive issue as you are still required to be logged into the admin. ** EN DISPUTA ** OpenCart versión 3.0.3.3, permite a usuarios autenticados remotos conducir ataques de tipo XSS por medio de un nombre de archivo diseñado en la sección de carga de imágenes de los usuarios debido a una falta de codificación de la entidad. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2020-10596. El proveedor declara que "Este no es un problema masivo, ya que aún se requiere que inicie sesión en el administrador" • https://github.com/opencart/opencart/issues/7974 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •