Rona Febriana

**Nome do software vulnerável e versões afetadas** Versões do PrestaShop anteriores à 8.1.3 **Descrição** O PrestaShop é uma plataforma de comércio eletrônico de código aberto. O problema surge porque o método `isCleanHtml` não é utilizado em um formulário específico, permitindo o armazenamento de uma carga de script entre sites (cross-site scripting) no banco de dados. O impacto é baixo devido ao mecanismo de escape do Twig, que impede a interpretação de HTML no back office (BO). No entanto, no front office (FO), o ataque de cross-site scripting pode ser eficaz, mas afeta apenas o cliente que o enviou ou a sessão do cliente a partir da qual foi enviado. Esta vulnerabilidade afeta particularmente aqueles que possuem um módulo que busca e exibe essas mensagens do banco de dados sem escapar o HTML. **Recomendações** Para versões do PrestaShop anteriores à 8.1.3, atualize para a versão 8.1.3, que contém um patch para esta vulnerabilidade. Como solução temporária, considere desativar quaisquer módulos que busquem e exibam mensagens do banco de dados sem o escape de HTML adequado até que o patch possa ser aplicado. Restrinja o acesso a módulos que possam estar vulneráveis a esta vulnerabilidade para minimizar o risco de exploração. Evite usar módulos que exibam conteúdo HTML sem escape do banco de dados no front office até que o problema seja resolvido.