Vulnerabilidades de omisión de filtros SQL y lectura arbitraria de archivos en PrestaShop

27/04/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a PrestaShop, que permitirían a un atacante no autorizado escribir, actualizar y eliminar datos en la base de datos, realizar ataques de inyección XSS, entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-30839, de severidad “Crítica”, con una puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla en el mecanismo de filtrado de sentencias SQL en PrestaShop. Esto permitiría a un atacante remoto no autenticado realizar omisión de los filtros SQL, escribir, actualizar y eliminar datos de la base de datos del sistema afectado. 
  • CVE-2023-30838, de severidad “Alta”, con una puntuación asignada de 8.5. Esta vulnerabilidad se debe a una falla de validación de entradas en el método ValidateCore::isCleanHTML() de Prestashop. Esto permitiría a un atacante secuestrar atributos HTML sin necesidad de interacción del usuario y provocar ataques cross-site scripting (XSS) a través de métodos @keyframes de preconfiguración en el sistema afectado. 
  • CVE-2023-30545, de severidad “Alta”, con una puntuación asignada de 7.7. Esta vulnerabilidad se debe a una falla de lectura arbitraria de cualquier archivo en el sistema operativo de Prestashop. Esto permitía a un atacante con acceso de administración SQL a través de la función SQL LOAD_FILE en una solicitud SELECT, obtener acceso no autorizado a información crítica del sistema afectado. 

Las versiones afectadas son: 

  • PrestaShop, versiones anteriores a 8.0.4 y 1.7.8.9. 

Recomendamos acceder a las actualizaciones correspondientes proporcionados por el fabricante en los siguientes enlaces: 

Referencias: 

Compartir: