Sintesi
Rilevata una vulnerabilità – con gravità “critica” – nel CMS open source PrestaShop, utilizzato tipicamente per la realizzazione di siti di e-commerce. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato remoto l’esecuzione di codice arbitrario sui sistemi target.
Note: la vulnerabilità risulterebbe essere stata sfruttata attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (72,82/100)1.
Tipologia
- Remote Code Execution
Prodotti e versioni affette
PrestaShop, dalla versione 1.6.0.10 alla versione 1.7.8.1
Modulo Wishlist (blockwishlist), dalla versione 2.0.0 alla versione 2.1.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Identificatori univoci vulnerabilità
CVE-2022-36408
Riferimenti
https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Fonte: https://www.csirt.gov.it/