Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro "shop" en el endpoint "/shopify/auth/enable_cookies" en koa-shopify-auth (CVE-2020-8176)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/07/2020
Última modificación:
10/07/2020

Descripción

Se presenta una vulnerabilidad de tipo cross-site scripting en koa-shopify-auth versiones v3.1.61 hasta v3.1.62, que permite a un atacante inyectar cargas útiles JS en el parámetro "shop" en el endpoint "/shopify/auth/enable_cookies"

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:shopify:koa-shopify-auth:3.1.61:*:*:*:*:*:*:*
cpe:2.3:a:shopify:koa-shopify-auth:3.1.62:*:*:*:*:*:*:*