CVE-2023-30154

Опубликовано: 14 окт. 2023

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

Multiple improper neutralization of SQL parameters in module AfterMail (aftermailpresta) for PrestaShop, before version 2.2.1, allows remote attackers to perform SQL injection attacks via id_customer, id_conf, id_product and token parameters in `aftermailajax.php via the 'id_product' parameter in hooks DisplayRightColumnProduct and DisplayProductButtons.

Ссылки

https://security.friendsofpresta.org/modules/2023/10/10/aftermailpresta.html
Patch
Third Party Advisory
https://security.friendsofpresta.org/modules/2023/10/10/aftermailpresta.html
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:shoprunners:aftermail:*:*:*:*:*:prestashop:*:*

Версия до 2.2.1 (исключая)

EPSS

Процентиль: 52%

0.00293

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-4rv5-xm6p-7p7f