Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Falta de validación en el módulo Checkout de Prestashop

Fecha de publicación 20/10/2025
Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a las siguientes:

  • 5.0.0 (incluida);
  • 5.0.5;
  • 1.3.0 (incluida);
  • 4.4.1.
Descripción

iNem0o ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante acceder a la cuenta del cliente mediante correo electrónico.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • v4.4.1 para PrestaShop 1.7 (número de compilación: 7.4.4.1);
  • v4.4.1 para PrestaShop 8 (número de compilación: 8.4.4.1);
  • v5.0.5 para PrestaShop 1.7 (número de compilación: 7.5.0.5);
  • v5.0.5 para PrestaShop 8 (número de compilación: 8.5.0.5);
  • v5.0.5 para PrestaShop 9 (número de compilación: 9.5.0.5).
Detalle

PrestaShop Checkout es el módulo de pago oficial de PrestaShop en colaboración con PayPal. La falta de validación en la función de pago rápido permite el inicio de sesión silencioso, lo que podría derivar en el robo de cuentas por correo electrónico.

Se ha asignado el identificador CVE-2025-61922 a esta vulnerabilidad.

CVE
Explotación
No
Fabricante
prestashop
Identificador CVE
CVE-2025-61922
Severidad
Crítica
Listado de referencias
PrestaShop Checkout allows customer account takeover via email
Etiquetas