Se han detectado tres vulnerabilidades: dos de tipo inyección SQL, una de gravedad crítica y otra alta, y otra vulnerabilidad de inyección XSS de gravedad alta, que podrían permitir a cualquier usuario con permisos de administrador escribir, actualizar o eliminar bases de datos SQL independientemente de sus permisos. CVE-2023-30839, CVE-2023-30545, CVE-2023-30838. La vulnerabilidad de gravedad crítica es de filtrado SQL y podría permitir a un usuario escribir, actualizar y eliminar en la base de datos, incluso sin tener permisos específicos de administrador.

Respecto a las vulnerabilidades de gravedad alta, una afecta a la lectura de archivos arbitrarios, lo cual hace posible que un usuario con acceso al administrador SQL pueda leer arbitrariamente cualquier archivo en el sistema operativo con una función SELECT. Mientras que la otra vulnerabilidad de gravedad alta, consiste en una posible inyección de XSS, que podría facilitar el secuestro de elementos HTML sin necesidad de interacción por parte del usuario.

Versiones de PrestaShop anteriores a la 8.0.4.

El fabricante ha publicado un parche y recomienda actualizar a las versiones de 8.0.4 y 1.7.8.9.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es