Pierre Rambaud

**Nome do software vulnerável e versões afetadas: Versões do PrestaShop anteriores à 1.7.8.2 Descrição: O PrestaShop é uma aplicação web de comércio eletrônico de código aberto. O problema está relacionado a injeção SQL cega por meio do uso de filtros de pesquisa com os parâmetros `orderBy` e `sortOrder`. Recomendações: Para versões do PrestaShop anteriores à 1.7.8.2, atualize para a versão 1.7.8.2 para resolver o problema. Como solução temporária, considere restringir o uso de filtros de pesquisa com os parâmetros `orderBy` e `sortOrder` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do módulo de formulário de contato do PrestaShop anteriores à 4.3.0 **Descrição** A vulnerabilidade permite que um invasor injete código JavaScript ao utilizar o formulário de contato, podendo executar código JavaScript arbitrário no navegador da vítima. Isso ocorre porque o campo `message` não tem sua codificação de escape corretamente removida. **Recomendações** Para versões do módulo contactform do PrestaShop anteriores à 4.3.0, atualize para a versão 4.3.0 para resolver o problema. Como solução temporária, considere restringir o uso do formulário de contato até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop anteriores à 1.7.6.5 **Descrição** A vulnerabilidade permite um ataque XSS refletido quando uma página com segurança comprometida é acessada, possibilitando a execução de ações arbitrárias. **Recomendações** Para versões do PrestaShop anteriores à 1.7.6.5, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.4.0 a 1.7.6.4 **Descrição** O problema está relacionado a um XSS refletido que ocorre ao fazer upload de um arquivo incorreto. **Recomendações** Para as versões do PrestaShop 1.7.4.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.5.5.0 a 1.7.6.4 **Descrição** O problema está relacionado a um controle de acesso inadequado na pesquisa de clientes. O problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões do PrestaShop 1.5.5.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.0.0 a 1.7.6.4 **Descrição** O problema diz respeito a controles de acesso inadequados na página de atributos do produto. O problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões do PrestaShop 1.7.0.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.0.0 a 1.7.6.4 **Descrição** O problema está relacionado a controles de acesso inadequados na página do produto, afetando especificamente combinações, anexos e preços específicos. **Recomendações** Para as versões do PrestaShop 1.7.0.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.6.1 a 1.7.6.4 **Descrição** A vulnerabilidade é um XSS refletido que ocorre na página AdminAttributesGroups. O problema já foi corrigido. **Recomendações** Para as versões 1.7.6.1 a 1.7.6.4 do PrestaShop, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.6.1 a 1.7.6.4 **Descrição** O problema é um XSS refletido que ocorre na página AdminFeatures ao utilizar o parâmetro `id feature`. O problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões 1.7.6.1 a 1.7.6.4 do PrestaShop, atualize para a versão 1.7.6.5 para resolver o problema. Como solução temporária, considere restringir o uso do parâmetro `id feature` na página AdminFeatures até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.6.0 a 1.7.6.5 **Descrição** O problema está relacionado a um redirecionamento aberto ao usar o parâmetro `back`. Isso pode levar ao roubo de informações e credenciais, bem como ao redirecionamento para sites maliciosos contendo conteúdo controlado por invasores, podendo causar ataques XSS. **Recomendações** Para as versões do PrestaShop 1.7.6.0 a 1.7.6.5, atualize para a versão 1.7.6.5 para resolver o problema. Como solução temporária, considere restringir o uso do parâmetro `back` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.6.0.0 a 1.7.6.4 **Descrição** O problema está relacionado a um XSS refletido na página do painel de controle, especificamente nos parâmetros `date from` e `date to`. Esse problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões do PrestaShop 1.6.0.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso à página do painel de controle ou evitar o uso dos parâmetros `date from` e `date to` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.5.5.0 a 1.7.6.4 **Descrição** O problema está relacionado a um XSS refletido na página de pesquisa, envolvendo especificamente os parâmetros `alias` e `search`. **Recomendações** Para as versões do PrestaShop 1.5.5.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.1.0 a 1.7.6.4 **Descrição** O problema está relacionado a um ataque XSS refletido na página AdminCarts, especificamente no parâmetro `cartBox`. O problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões do PrestaShop 1.7.1.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso à página AdminCarts ou evitar o uso do parâmetro `cartBox` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop de 1.5.4.0 a 1.7.6.4 **Descrição** O problema está relacionado a um ataque XSS refletido na página de exceção. O problema foi corrigido na versão 1.7.6.5. **Recomendações** Para as versões do PrestaShop 1.5.4.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop de 1.5.0.0 a 1.7.6.4 **Descrição** O problema está relacionado a um controle de acesso inadequado no PrestaShop, afetando especificamente controladores legados desde a versão 1.5.0.0. Os pontos de extremidade da API afetados incluem “admin-dev/index.php/configure/shop/customer-preferences/”, “admin-dev/index.php/improve/international/translations/”, “admin-dev/index.php/improve/international/geolocation/”, “admin-dev/index.php/improve/international/localization”, “admin-dev/index.php/configure/advanced/performance”, “admin-dev/index.php/sell/orders/delivery-slips/” e “admin-dev/index.php?controller=AdminStatuses”. **Recomendações** Para as versões 1.5.0.0 a 1.7.6.4 do PrestaShop, atualize para a versão 1.7.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API afetados até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop 1.7.6.0 a 1.7.6.4 **Descrição** O problema está relacionado a um XSS refletido. Ele envolve o parâmetro `back`. **Recomendações** Para as versões do PrestaShop 1.7.6.0 a 1.7.6.4, atualize para a versão 1.7.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop anteriores à 3.1.0 **Descrição** O problema diz respeito a um XSS armazenado no módulo ps link ao criar ou editar um bloco de lista de links, especificamente no campo de título. **Recomendações** Para versões anteriores à 3.1.0, atualize para a versão 3.1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do módulo ps linklist do PrestaShop anteriores à 3.1.0 **Descrição** A vulnerabilidade diz respeito a um ataque XSS armazenado ao utilizar URLs personalizadas. **Recomendações** Para as versões do módulo ps linklist do PrestaShop anteriores à 3.1.0, atualize para a versão 3.1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Módulo ps facetedsearch do PrestaShop, versões anteriores à 2.1.0 **Descrição** O problema diz respeito a um XSS refletido relacionado aos campos de redes sociais. O problema foi corrigido na versão 2.1.0. **Recomendações** Para as versões do módulo ps facetedsearch do PrestaShop anteriores à 2.1.0, atualize para a versão 2.1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Módulo ps facetedsearch do PrestaShop, versões anteriores à 3.5.0 **Descrição** A vulnerabilidade está relacionada a um ataque XSS refletido envolvendo o parâmetro `url name`. O problema foi corrigido na versão 3.5.0. **Recomendações** Para versões do módulo ps facetedsearch do PrestaShop anteriores à 3.5.0, atualize para a versão 3.5.0 para resolver o problema. Como solução temporária, considere restringir o uso do parâmetro `url name` no módulo afetado até que a atualização seja aplicada.