Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01960

Опубликовано: 14 мая 2024
Источник: fstec
CVSS3: 9.6
CVSS2: 10
EPSS Средний

Описание

Уязвимость веб-приложения для электронной коммерции с открытым кодом PrestaShop связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Вендор

PrestaShop SA

Наименование ПО

PrestaShop

Версия ПО

от 8.1.0 до 8.1.6 (PrestaShop)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-45vm-3j38-7p78

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.36665
Средний

9.6 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-34716

CVSS3: 9.6
nvd
больше 1 года назад

PrestaShop is an open source e-commerce web application. A cross-site scripting (XSS) vulnerability that only affects PrestaShops with customer-thread feature flag enabled is present starting from PrestaShop 8.1.0 and prior to PrestaShop 8.1.6. When the customer thread feature flag is enabled through the front-office contact form, a hacker can upload a malicious file containing an XSS that will be executed when an admin opens the attached file in back office. The script injected can access the session and the security token, which allows it to perform any authenticated action in the scope of the administrator's right. This vulnerability is patched in 8.1.6. A workaround is to disable the customer-thread feature-flag.

github логотип

GHSA-45vm-3j38-7p78

CVSS3: 9.6
github
больше 1 года назад

PrestaShop cross-site scripting via customer contact form in FO, through file upload

EPSS

Процентиль: 97%
0.36665
Средний

9.6 Critical

CVSS3

10 Critical

CVSS2