Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07310

Опубликовано: 13 окт. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость модуля Jms Blog (jmsblog) веб-приложения для электронной коммерции с открытым кодом PrestaShop связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-запрос

Вендор

Joommasters

Наименование ПО

Jms Blog (jmsblog)

Версия ПО

2.5.5 (Jms Blog (jmsblog))
2.5.6 (Jms Blog (jmsblog))

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Обновите PrestaShop до последней версии, чтобы отключить выполнение нескольких запросов (через «;») — однако эта функция НЕ защитит от внедрения SQL, который использует предложение UNION для несанкционированного доступа к данным.
2. Измените префикс базы данных по умолчанию ps_на новый, более длинный произвольный префикс. Однако, эта мера не применима к нарушителям с правами администратора базы данных из-за конструктивной уязвимости в СУБД.
3. Активируйте правила OWASP 942 на вашем WAF (брандмауэре веб-приложений).
Использование рекомендаций:
https://security.friendsofpresta.org/modules/2023/03/13/jmsblog.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.89821
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-27034

CVSS3: 9.8
nvd
почти 3 года назад

PrestaShop jmsblog 2.5.5 was discovered to contain a SQL injection vulnerability.

github логотип

GHSA-7jr7-v6gv-m656

CVSS3: 9.8
github
почти 3 года назад

PrestaShop jmsblog 2.5.5 was discovered to contain a SQL injection vulnerability.

EPSS

Процентиль: 100%
0.89821
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2