exploitDog

CVE-2025-61922

Опубликовано: 16 окт. 2025

Источник: nvd

CVSS3: 9.1

EPSS Низкий

Описание

PrestaShop Checkout is the PrestaShop official payment module in partnership with PayPal. Starting in version 1.3.0 and prior to versions 4.4.1 and 5.0.5, missing validation on the Express Checkout feature allows silent login, enabling account takeover via email. The vulnerability is fixed in versions 4.4.1 and 5.0.5. No known workarounds exist.

Ссылки

https://github.com/PrestaShopCorp/ps_checkout/security/advisories/GHSA-54hq-mf6h-48xh
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:prestashop:prestashop_checkout:*:*:*:*:*:prestashop:*:*

Версия от 1.3.0 (включая) до 7.4.4.1 (исключая)

cpe:2.3:a:prestashop:prestashop_checkout:*:*:*:*:*:prestashop:*:*

Версия от 7.5.0.1 (включая) до 7.5.0.5 (исключая)

cpe:2.3:a:prestashop:prestashop_checkout:*:*:*:*:*:prestashop:*:*

Версия от 8.3.1.0 (включая) до 8.4.4.1 (исключая)

cpe:2.3:a:prestashop:prestashop_checkout:*:*:*:*:*:prestashop:*:*

Версия от 8.5.0.0 (включая) до 8.5.0.5 (исключая)

cpe:2.3:a:prestashop:prestashop_checkout:*:*:*:*:*:prestashop:*:*

Версия от 9.4.3.1 (включая) до 9.5.0.5 (исключая)

EPSS

Процентиль: 3%

0.00016

Низкий

9.1 Critical

CVSS3

Дефекты

CWE-287

Связанные уязвимости

GHSA-54hq-mf6h-48xh

CVSS3: 9.1

github

4 месяца назад

PrestaShop Checkout allows customer account takeover via email

EPSS

Процентиль: 3%

0.00016

Низкий

9.1 Critical

CVSS3

Дефекты

CWE-287