CVE-2021-37593

Versões do PEEL Shopping anteriores à 9.4.0.1

A vulnerabilidade permite a injeção remota de SQL, possibilitando que um usuário não autenticado injete consultas SQL maliciosas e afete a execução de comandos SQL predefinidos. Isso pode ser feito por meio do parâmetro “id” no endpoint “achat/produit details.php?id={SQLi}”. Caso o ataque seja bem-sucedido, um invasor pode ler dados confidenciais do banco de dados ou modificar dados do banco de dados.

Para versões do PEEL Shopping anteriores à 9.4.0.1, atualize para a versão 9.4.0.1 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao endpoint “achat/produit details.php” para minimizar o risco de exploração.

Evite usar o parâmetro id no endpoint afetado até que o problema seja resolvido.