Múltiples vulnerabilidades en PrestaShop
Versiones de PrestaShop anteriores a la 8.0.4.
Se han detectado tres vulnerabilidades: dos de tipo inyección SQL, una de gravedad crítica y otra alta, y otra vulnerabilidad de inyección XSS de gravedad alta, que podrían permitir a cualquier usuario con permisos de administrador escribir, actualizar o eliminar bases de datos SQL independientemente de sus permisos.
El fabricante ha publicado un parche y recomienda actualizar a las versiones de 8.0.4 y 1.7.8.9.
La vulnerabilidad de gravedad crítica es de filtrado SQL y podría permitir a un usuario escribir, actualizar y eliminar en la base de datos, incluso sin tener permisos específicos de administrador.
Respecto a las vulnerabilidades de gravedad alta, una afecta a la lectura de archivos arbitrarios, lo cual hace posible que un usuario con acceso al administrador SQL pueda leer arbitrariamente cualquier archivo en el sistema operativo con una función SELECT. Mientras que la otra vulnerabilidad de gravedad alta, consiste en una posible inyección de XSS, que podría facilitar el secuestro de elementos HTML sin necesidad de interacción por parte del usuario.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
