PT-2024-18978 · Unknown · Prestashop
Antonio-R1
+1
·
Publicado
2024-01-02
·
Atualizado
2024-03-06
·
CVE-2024-21627
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do PrestaShop anteriores à 8.1.3
Versões do PrestaShop anteriores à 1.7.8.11
Descrição
O PrestaShop é uma plataforma de comércio eletrônico de código aberto. Alguns atributos de eventos não são detectados pelo método
isCleanHTML, o que pode tornar alguns módulos que utilizam esse método vulneráveis a ataques de cross-site scripting.Recomendações
Para versões anteriores à 8.1.3, atualize para a versão 8.1.3 para resolver o problema.
Para versões anteriores à 1.7.8.11, atualize para a versão 1.7.8.11 para resolver o problema.
Como solução temporária, considere usar a biblioteca
HTMLPurifier para sanitizar entradas HTML provenientes de usuários, já que ela está disponível como dependência no projeto PrestaShop. Esteja ciente de que, em modelos de objeto legados, campos do tipo HTML chamarão isCleanHTML.Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Prestashop