OWASP ZAP показал наличие уязвимостей - Joomla 3.x: Общие вопросы

Доброго времени.

Решил прогнать сайт через OWASP, в итоге увидел достаточно уязвимостей. Поэтому нужен совет, как от них закрыться.

1. XSS
1.1 Тут показывается везде, в основном - это материалы Joomla. Пример: http://xxx/en/novosti-2?amp%3Bformat=feed&amp%3Btype=atom&amp%3Btype=javascript%3Aalert%281%29%3B
javascript%3Aalert%281%29%3B - это и есть уязвимость. Если вместо нее написать "><script>alert("cookie: "+document.cookie)</script> - то вылетает 403 ошибка. Вопрос: при таком раскладе стоит обращать на нее внимание? Так как если вбивать строку изначальную, то алерт не всплывает.

1.2 А вот эта уязвимость отрабатывает, если в поле поиска (компонент joomshopping) вставить " onMouseOver="alert(1);. Это уже рабочая уязвимость. Как ее закрыть, где что фильтровать? Так как походу фильтров в строке поиска товара нет, от слова "совсем".

2. Buffer Overflow
Показывает в "блоге категорий", где размещается материал. Отключен стандартный редактор, поэтому текст в новостях (материалах) пишется с использованием тегов (картинки, текст и т.д.)
УРЛ: http://ххх/en/novosti-2?format=feed&type=atom
Параметр : GET http://ххх/en/novosti-2?format=feed&type=TIp(очень много букв)
При использовании длинного адреса вылезает 500 ошибка. Критично или нет ? Если да, как исправить? Ибо решение, как Я понял, "Rewrite the background program using proper return length checking.", а это уже движок.

3. Format String Error
Показывает в "блоге категорий", где размещается материал.
УРЛ : http://ххх/en/novosti-2?format=feed&type=ZAP%25n%25s%25n%25s%25(и так далее в таком же виде). Выбивает 500 ошибку. Критично или нет ? Если да, как исправить? Ибо решение, опять же,  "Rewrite the background program using proper deletion of bad character strings." - движок.

Больше всего интересуют уязвимости XSS. Заранее благодарен.

P.S. Версия PHP - 5.6. Версия joomla - 3.8.2. Все компоненты последней версии.
Тест проходил на локальном сервере (OSPanel).

а сайт то на какой версии?

Версия PHP - 5.6. Версия Joomla - 3.8.2. Компоненты соответствует последней версии.

Фильтровать кавычки

ProtectYourSite, это понятно, что фильтровать... А где фильтр находится, который за это отвечает? Он есть в самом движке или его допиливать надо? Или можно реализовать через, допустим .htaccess (так как блокиратор <script> там настроен)? Как этот фильтр подключить к form.php поиска джумшоппинга, чтобы "onmoseover" не срабатывал, если там и намека нет, что он подключает какой-то фильтр?
Спасибо за совет, но больше интересует как реализовать и куда рыть.

Отдавать 404 на запрос с ?format=feed
Так яваскрипт в браузере выполняется, не влияет на безопасность .

ProtectYourSite, это понятно, что фильтровать... А где фильтр находится, который за это отвечает? Он есть в самом движке или его допиливать надо? Или можно реализовать через, допустим .htaccess (так как блокиратор <script> там настроен)? Как этот фильтр подключить к form.php поиска джумшоппинга, чтобы "onmoseover" не срабатывал, если там и намека нет, что он подключает какой-то фильтр?
Спасибо за совет, но больше интересует как реализовать и куда рыть.

Надо смотреть воспроизводится ли проблема в самом компоненте магазина, и если да, то надо проинформировать разработчиков, чтобы исправили.
Пока не могу проверить, только после выходных.

не смог повторить с поиском JoomShopping http://prntscr.com/hf03fg . какие именно действия нужно сделать?

P.S. по сути вот этот скрин более важен http://prntscr.com/hf058v

Нашел модуль, в котором есть это. Нужно в его шаблоне заменить

<input type = "text" class = "inputbox" style = "width: 110px" name = "search" id = "jshop_search" value = "<?php print $search ?>" />

на

<input type = "text" class = "inputbox" style = "width: 110px" name = "search" id = "jshop_search" value = "<?php print htmlspecialchars($search)?>" />

dmitry_stas, большая человеческая благодарность! Вот так он отрабатывал : https://prnt.sc/hf1995 При чем вроде IE и хромой еще как-то его блокировали, а вот новый Лис исполняет на ура...
В строке поиска вводил просто - " onMouseOver="alert(1);. Теперь не отрабатывает. Надо будет написать разрабам магазина.

Drafа, в принципе, так и думал сделать. Пойду ковырять хтаксесс. Надеюсь, смогу додуматься =)

Благодарю всех за помощь!

Надо будет написать разрабам магазина.

уже

Попробовал выдавать 404 на ?format=

RewriteCond %{QUERY_STRING} format=(.*)
RewriteRule ^ - [R=404,L]

Работает. Хотя тестовые письма из админки после этого не отправляются, но все остальные письма: заказ, авторизация, восстановления доходят. Видимо сработало.
Благодарю за подсказку!

в помощь Можно ли делать редирект со страниц RSS на страницу 404?