Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Prestashop (CVE-2022-45447)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/09/2023
Última modificación:
22/09/2023

Descripción

El complemento M4 PDF para sitios Prestashop, en su versión 3.2.3 y anteriores, es vulnerable a una vulnerabilidad de Directory Traversal. El parámetro “f” no está marcado correctamente en el recurso /m4pdf/pdf.php, devolviendo cualquier archivo dada su ruta relativa. Un atacante que aproveche esta vulnerabilidad podría descargar /etc/passwd del servidor si el archivo existe.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:prestashop:m4_pdf:*:*:*:*:*:prestashop:*:* 3.2.3 (incluyendo)