Vulnerabilidad en PrestaShop (CVE-2024-21628)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

02/01/2024

Última modificación:

08/01/2024

Descripción

PrestaShop es una plataforma de comercio electrónico de código abierto. Antes de la versión 8.1.3, el método isCleanHtml no se utiliza en este formulario, lo que hace posible almacenar un payload de cross site scripting en la base de datos. El impacto es bajo porque el HTML no se interpreta en BO, gracias al mecanismo de escape de twig. En FO, el ataque de cross site scripting es efectivo, pero solo afecta al cliente que lo envía o a la sesión del cliente desde donde se envió. Este problema afecta a quienes tienen un módulo que recupera estos mensajes de la base de datos y los muestra sin escapar del HTML. La versión 8.1.3 contiene un parche para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno