CVE-2024-21628

Versões do PrestaShop anteriores à 8.1.3

O PrestaShop é uma plataforma de comércio eletrônico de código aberto. O problema surge porque o método isCleanHtml não é utilizado em um formulário específico, permitindo o armazenamento de uma carga de script entre sites (cross-site scripting) no banco de dados. O impacto é baixo devido ao mecanismo de escape do Twig, que impede a interpretação de HTML no back office (BO). No entanto, no front office (FO), o ataque de cross-site scripting pode ser eficaz, mas afeta apenas o cliente que o enviou ou a sessão do cliente a partir da qual foi enviado. Esta vulnerabilidade afeta particularmente aqueles que possuem um módulo que busca e exibe essas mensagens do banco de dados sem escapar o HTML.

Para versões do PrestaShop anteriores à 8.1.3, atualize para a versão 8.1.3, que contém um patch para esta vulnerabilidade. Como solução temporária, considere desativar quaisquer módulos que busquem e exibam mensagens do banco de dados sem o escape de HTML adequado até que o patch possa ser aplicado. Restrinja o acesso a módulos que possam estar vulneráveis a esta vulnerabilidade para minimizar o risco de exploração. Evite usar módulos que exibam conteúdo HTML sem escape do banco de dados no front office até que o problema seja resolvido.