CVE-2022-31181

Опубликовано: 01 авг. 2022

Источник: nvd

CVSS3: 9.8

EPSS Высокий

Описание

PrestaShop is an Open Source e-commerce platform. In versions from 1.6.0.10 and before 1.7.8.7 PrestaShop is subject to an SQL injection vulnerability which can be chained to call PHP's Eval function on attacker input. The problem is fixed in version 1.7.8.7. Users are advised to upgrade. Users unable to upgrade may delete the MySQL Smarty cache feature.

Ссылки

https://github.com/PrestaShop/PrestaShop/commit/b6d96e7c2a4e35a44e96ffbcdfd34439b56af804
Patch
Third Party Advisory
https://github.com/PrestaShop/PrestaShop/releases/tag/1.7.8.7
Release Notes
Third Party Advisory
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-hrgx-p36p-89q4
Mitigation
Third Party Advisory
https://github.com/PrestaShop/PrestaShop/commit/b6d96e7c2a4e35a44e96ffbcdfd34439b56af804
Patch
Third Party Advisory
https://github.com/PrestaShop/PrestaShop/releases/tag/1.7.8.7
Release Notes
Third Party Advisory
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-hrgx-p36p-89q4
Mitigation
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:prestashop:prestashop:*:*:*:*:*:*:*:*

Версия от 1.6.0.10 (включая) до 1.7.8.7 (исключая)

EPSS

Процентиль: 99%

0.72653

Высокий

9.8 Critical

CVSS3

Дефекты

CWE-74

CWE-89

Связанные уязвимости

GHSA-hrgx-p36p-89q4

CVSS3: 9.8

github

больше 3 лет назад

PrestaShop eval injection possible if shop vulnerable to SQL injection

BDU:2022-04827

CVSS3: 9.8

fstec

больше 3 лет назад

Уязвимость веб-приложения для электронной коммерции с открытым кодом PrestaShop, связанная с недостатками процедуры нейтрализации особых элементов в выходных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.72653

Высокий

9.8 Critical

CVSS3

Дефекты

CWE-74

CWE-89