CVE-2020-28838
https://notcve.org/view.php?id=CVE-2020-28838
Cross Site Request Forgery (CSRF) in CART option in OpenCart Ltd. Opencart CMS 3.0.3.6 allows attacker to add cart items via Add to cart. Un vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en la opción CART en OpenCart Ltd. Opencart CMS versión 3.0.3.6, permite a un atacante agregar artículos al carrito por medio de Add to cart • https://www.exploit-db.com/exploits/49228 https://www.opencart.com • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-13980
https://notcve.org/view.php?id=CVE-2020-13980
OpenCart 3.0.3.3 allows remote authenticated users to conduct XSS attacks via a crafted filename in the users' image upload section because of a lack of entity encoding. NOTE: this issue exists because of an incomplete fix for CVE-2020-10596. The vendor states "this is not a massive issue as you are still required to be logged into the admin. ** EN DISPUTA ** OpenCart versión 3.0.3.3, permite a usuarios autenticados remotos conducir ataques de tipo XSS por medio de un nombre de archivo diseñado en la sección de carga de imágenes de los usuarios debido a una falta de codificación de la entidad. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2020-10596. El proveedor declara que "Este no es un problema masivo, ya que aún se requiere que inicie sesión en el administrador" • https://github.com/opencart/opencart/issues/7974 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-10596 – OpenCart 3.0.3.2 - Stored Cross Site Scripting (Authenticated)
https://notcve.org/view.php?id=CVE-2020-10596
OpenCart 3.0.3.2 allows remote authenticated users to conduct XSS attacks via a crafted filename in the users' image upload section. OpenCart versión 3.0.3.2, permite a usuarios autenticados remotos conducir ataques de tipo XSS por medio de un nombre de archivo diseñado en la sección de carga de imágenes de usuarios. OpenCart version 3.0.3.2 suffers from a persistent cross site scripting vulnerability. • https://www.exploit-db.com/exploits/48539 https://github.com/miguelc49/CVE-2020-10596-1 https://github.com/miguelc49/CVE-2020-10596-2 http://packetstormsecurity.com/files/157908/OpenCart-3.0.3.2-Cross-Site-Scripting.html https://github.com/opencart/opencart/issues/7810 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-15081 – Opencart 3.x - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2019-15081
OpenCart 3.x, when the attacker has login access to the admin panel, allows stored XSS within the Source/HTML editing feature of the Categories, Product, and Information pages. OpenCart versiones 3.x, cuando el atacante tiene acceso de inicio de sesión hacia el panel de administración, permite un ataque de tipo XSS almacenado dentro de la funcionalidad de edición de Source/HTML de las páginas Categories, Product, e Information. • https://www.exploit-db.com/exploits/47331 http://packetstormsecurity.com/files/154286/Opencart-3.x-Cross-Site-Scripting.html https://github.com/nipunsomani/Opencart-3.x.x-Authenticated-Stored-XSS/blob/master/README.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-13067
https://notcve.org/view.php?id=CVE-2018-13067
/upload/catalog/controller/account/password.php in OpenCart through 3.0.2.0 has CSRF via the index.php?route=account/password URI to change a user's password. /upload/catalog/controller/account/password.php en OpenCart hasta la versión 3.0.2.0 tiene Cross-Site Request Forgery (CSRF) mediante el URI index.php?route=account/password para cambiar la contraseña de un usuario. • https://whitehatck01.blogspot.com/2018/06/opencart-v3-0-3-0-user-changes-password.html • CWE-352: Cross-Site Request Forgery (CSRF) •