CVE-2024-34716

Versões do PrestaShop 8.1.0 a 8.1.5

Existe uma vulnerabilidade de cross-site scripting (XSS) no PrestaShop quando o sinalizador da funcionalidade “customer-thread” está ativado. Isso permite que um hacker envie um arquivo malicioso contendo um XSS que será executado quando um administrador abrir o arquivo anexado no back office. O script injetado pode acessar a sessão e o token de segurança, permitindo-lhe realizar qualquer ação autenticada dentro dos direitos do administrador. Mais de 300.000 resultados foram identificados como potencialmente afetados.

Para as versões 8.1.0 a 8.1.5 do PrestaShop, atualize para a versão 8.1.6 para resolver o problema.

Como solução temporária, considere desativar o sinalizador de recurso “customer-thread” até que um patch seja aplicado.