CVE-2025-24027

Nome do Software Vulnerável e Versões Afetadas Módulo ps contactinfo do PrestaShop, versões até e incluindo a 3.3.2

Descrição O módulo ps contactinfo apresenta uma vulnerabilidade de cross-site scripting (XSS). Esta questão pode ser explorada em lojas que se tornam vulneráveis devido a módulos de terceiros, como aqueles suscetíveis a injeções de SQL. Por exemplo, se uma loja possuir um módulo de terceiros vulnerável a injeções de SQL, o ps contactinfo pode executar um cross-site scripting armazenado na formatação de objetos. Um commit foi realizado para impedir que endereços formatados exibam um XSS armazenado no banco de dados, e a correção deve estar disponível na versão 3.3.3.

Recomendações Para versões até e incluindo a 3.3.2, aplique a correção e mantenha todos os módulos atualizados e mantidos para prevenir a exploração. Como medida de contorno temporária, considere manter todos os módulos atualizados e mantidos, pois não há outras medidas de contorno disponíveis além de aplicar a correção. Para a versão 3.3.3 e posteriores, nenhuma ação é necessária, pois a correção deve estar incluída nesta versão.