Vulnerabilidad en Prestashop (CVE-2022-45447)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/09/2023
Última modificación:
22/09/2023
Descripción
El complemento M4 PDF para sitios Prestashop, en su versión 3.2.3 y anteriores, es vulnerable a una vulnerabilidad de Directory Traversal. El parámetro “f” no está marcado correctamente en el recurso /m4pdf/pdf.php, devolviendo cualquier archivo dada su ruta relativa. Un atacante que aproveche esta vulnerabilidad podría descargar /etc/passwd del servidor si el archivo existe.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:prestashop:m4_pdf:*:*:*:*:*:prestashop:*:* | 3.2.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página