Se han reportado nuevos avisos de seguridad sobre siete vulnerabilidades que afectan a PrestaShop, que permitirían a un atacante realizar inyección SQL (SQLi), ataques del tipo Cross-site Scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 1 (una) de severidad “Alta” y 5 (cinco) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-39526, de severidad “Crítica”, con una puntuación asignada de 9.1. Esta vulnerabilidad de inyección SQL (SQLi) se debe a una falla en el gestor SQL de PrestaShop. Esto permitiría a un atacante a través de solicitudes especialmente diseñadas, escribir, actualizar y eliminar datos de la base de datos, obtener información confidencial, y potencialmente provocar ejecución remota de código (RCE).
- CVE-2023-39527, de severidad “Alta”, con una puntuación asignada de 8.3. Esta vulnerabilidad del tipo Cross-site Scripting (XSS) se debe a una falla de validación de datos de entradas del usuario en el método isCleanHTML de PrestaShop. Esto permitiría a un atacante no autenticado, a través de peticiones HTTP especialmente diseñadas, ejecutar código JavaScript en el navegador de las víctimas a través del sitio web afectado.
Puede acceder al listado completo de vulnerabilidades aquí.
La versión afectada es:
- PrestaShop, versión 8.1.0 y anteriores.
Recomendamos acceder a las actualizaciones correspondientes a cada versión proporcionados por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-39526-critical-sql-injection-in-prestashop/
- https://github.com/PrestaShop/PrestaShop/security
- https://nvd.nist.gov/vuln/detail/CVE-2023-39526
- https://nvd.nist.gov/vuln/detail/CVE-2023-39527
- https://github.com/PrestaShop/PrestaShop/releases/tag/1.7.8.10
- https://github.com/PrestaShop/PrestaShop/releases/tag/8.1.1
- https://github.com/PrestaShop/PrestaShop/releases/tag/8.0.5