一、 漏洞 CVE-2022-31181 基础信息
漏洞信息
                                        # PrestaShop 远程代码执行漏洞

## 概述
PrestaShop 是一个开源的电子商务平台。在版本从 1.6.0.10 到 1.7.8.7 之前,存在一个 SQL 注入漏洞,可被攻击者利用来调用 PHP 的 Eval 函数。该问题在版本 1.7.8.7 中得到了修复。用户被建议升级。

## 影响版本
- 1.6.0.10 至 1.7.8.7 之前的版本

## 细节
存在一个 SQL 注入漏洞,该漏洞可以被利用来调用 PHP 的 Eval 函数,从而允许攻击者执行任意代码。

## 影响
该漏洞可能导致攻击者执行任意代码,对系统安全构成威胁。用户应尽快升级到 1.7.8.7 版本或删除 MySQL Smarty 缓存功能以缓解风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote code execution in prestashop
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PrestaShop is an Open Source e-commerce platform. In versions from 1.6.0.10 and before 1.7.8.7 PrestaShop is subject to an SQL injection vulnerability which can be chained to call PHP's Eval function on attacker input. The problem is fixed in version 1.7.8.7. Users are advised to upgrade. Users unable to upgrade may delete the MySQL Smarty cache feature.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
PrestaShop SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop 1.6.0.10 到 1.7.8.6版本存在SQL注入漏洞,该漏洞源于config/smarty.config.inc.php存在安全问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-31181 的公开POC
# POC 描述 源链接 神龙链接
1 Module for PrestaShop 1.6.1.X/1.7.X to fix CVE-2022-31181 / CVE-2022-36408 vulnerability (Chain SQL Injection) https://github.com/drkbcn/lblfixer_cve_2022_31181 POC详情
2 PrestaShop versions from 1.6.0.10 and before 1.7.8.7 contain an SQL injection caused by unsanitized user input, letting attackers chain the vulnerability to call PHP's Eval function, exploit requires attacker to send malicious input. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-31181.yaml POC详情
三、漏洞 CVE-2022-31181 的情报信息
四、漏洞 CVE-2022-31181 的评论

暂无评论

发表评论