Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en ps_contactinfo de PrestaShop (CVE-2025-24027)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/01/2025
Última modificación:
22/01/2025

Descripción

ps_contactinfo, un módulo de PrestaShop para mostrar información de contacto de la tienda, tiene una vulnerabilidad de cross-site scripting (XSS) en versiones hasta incluida 3.3.2. Esto no se puede explotar en una nueva instalación de PrestaShop, solo se ven afectadas las tiendas que se vuelven vulnerables por módulos de terceros. Por ejemplo, si la tienda tiene un módulo de terceros vulnerable a inyecciones SQL, entonces ps_contactinfo podría ejecutar una Cross-Site Scripting Almacenado en los objetos de formato. El commit d60f9a5634b4fc2d3a8831fb08fe2e1f23cbfa39 evita que las direcciones formateadas muestren un XSS almacenado en la base de datos, y se espera que la solución esté disponible en la versión 3.3.3. No hay workarounds disponibles aparte de aplicar la solución y mantener todos los módulos actualizados.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.20 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
6.20
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información