漏洞信息(CVE-2023-27637)

一、漏洞 CVE-2023-27637 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
tshirtecommerce（又名Custom Product Designer）组件在PrestaShop中的2.1.4版本中发现了一个SQL注入漏洞。攻击者可以通过伪造HTTP请求并使用受损的`product_id` GET参数来利用前端控制器文件designer.php中的不安全参数。

## 影响版本
- tshirtecommerce 2.1.4

## 细节
攻击者可以伪造一个包含受损`product_id` GET参数的HTTP请求，利用前端控制器文件`designer.php`中的不安全参数。这可能导致SQL注入攻击。

## 影响
此漏洞在2023年3月已被实际利用。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue was discovered in the tshirtecommerce (aka Custom Product Designer) component 2.1.4 for PrestaShop. An HTTP request can be forged with a compromised product_id GET parameter in order to exploit an insecure parameter in the front controller file designer.php, which could lead to a SQL injection. This is exploited in the wild in March 2023.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

PrestaShop SQL注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop tshirtecommerce 2.1.4版本存在安全漏洞，该漏洞源于。可以使用受损的product_id GET参数伪造HTTP请求，以利用前端控制器文件designer.php中的不安全参数，这可能导致SQL注入。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

SQL注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-27637 的公开POC

#	POC 描述	源链接	神龙链接
1	The tshirtecommerce module for PrestaShop is vulnerable to unauthenticated SQL injection via the designer endpoint, allowing attackers to execute arbitrary SQL queries and extract sensitive information from the database.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-27637.yaml	POC详情

一、 漏洞 CVE-2023-27637 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-27637 的公开POC

三、漏洞 CVE-2023-27637 的情报信息

一、漏洞 CVE-2023-27637 基础信息