![PrestaShop-logo](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/04/PrestaShop-logo.jpg)
Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a PrestaShop, que permitirían a un atacante no autorizado escribir, actualizar y eliminar datos en la base de datos, realizar ataques de inyección XSS, entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-30839, de severidad “Crítica”, con una puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla en el mecanismo de filtrado de sentencias SQL en PrestaShop. Esto permitiría a un atacante remoto no autenticado realizar omisión de los filtros SQL, escribir, actualizar y eliminar datos de la base de datos del sistema afectado.
- CVE-2023-30838, de severidad “Alta”, con una puntuación asignada de 8.5. Esta vulnerabilidad se debe a una falla de validación de entradas en el método ValidateCore::isCleanHTML() de Prestashop. Esto permitiría a un atacante secuestrar atributos HTML sin necesidad de interacción del usuario y provocar ataques cross-site scripting (XSS) a través de métodos @keyframes de preconfiguración en el sistema afectado.
- CVE-2023-30545, de severidad “Alta”, con una puntuación asignada de 7.7. Esta vulnerabilidad se debe a una falla de lectura arbitraria de cualquier archivo en el sistema operativo de Prestashop. Esto permitía a un atacante con acceso de administración SQL a través de la función SQL LOAD_FILE en una solicitud SELECT, obtener acceso no autorizado a información crítica del sistema afectado.
Las versiones afectadas son:
- PrestaShop, versiones anteriores a 8.0.4 y 1.7.8.9.
Recomendamos acceder a las actualizaciones correspondientes proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-30839-critical-sqli-vulnerability-in-prestashop-open-source-e-commerce-web-app/
- https://github.com/PrestaShop/PrestaShop/security
- https://nvd.nist.gov/vuln/detail/CVE-2023-30839
- https://nvd.nist.gov/vuln/detail/CVE-2023-30545
- https://nvd.nist.gov/vuln/detail/CVE-2023-30838
- https://github.com/PrestaShop/PrestaShop/releases/tag/8.0.4
- https://github.com/PrestaShop/PrestaShop/releases/tag/1.7.8.9