Cross-Site Scripting (XSS) almacenado en PrestaShop
Las siguientes versiones de PrestaShop están afectadas:
- Versiones anteriores a la 8.2.6;
- Versiones desde la 9.0.0 y anteriores a la 9.1.1.
El investigador Savio de Doyensec ha reportado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un ciberdelincuente realizar un ataque de tipo Cross-Site Scripting (XSS) almacenado.
Un atacante en remoto podría explotar este fallo inyectando código malicioso en determinadas páginas de la aplicación. Dicho código podría ejecutarse en el navegador de otros usuarios cuando accedan al contenido afectado, comprometiendo potencialmente la confidencialidad e integridad de la información.
Se recomienda actualizar a las versiones 8.2.6 y/o 9.1.1 que corrigen la vulnerabilidad.
La vulnerabilidad se debe a que ciertos datos que se introducen en la plataforma no se validan adecuadamente, lo que podría permitir insertar código JavaScript malicioso que quedaría almacenado en la aplicación.
Un atacante con capacidad para introducir contenido especialmente manipulado podría conseguir que dicho código se ejecutase en el navegador de otros usuarios cuando visualizaran el contenido afectado.
Si se explota con éxito se pude lograr:
- Robo de información de sesión;
- Suplantación de acciones realizadas por usuarios legítimos;
- Modificación del contenido mostrado en la aplicación;
- Redirección de usuarios a sitios web maliciosos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-44212 | Crítica | No | PrestaShop |
