Při resetovaní hesla a v historii objednávek se neescapovaly hodnoty uživatele a mohlo dojít k XSS útoku.
Útok byl možný pouze u přihlášeného uživatele nebo musel znát jeho email, tudíž chyba nebyla nebezpečná pro ostatní uživatele. Ve verzích v2.0.7, v3.0.6 a v4.1.3 order-modulu a v user-module verze v1.1.10 a v2.1.8 bylo přidáno escapovení v šablonách v OrderAddressControl.address.email.latte a ChangePasswordFormControl.latte.