漏洞信息
# N/A
## 漏洞概述
发现了一个影响 PrestaShop 的 tshirtecommerce(又称 Custom Product Designer)组件 2.1.4 的问题。攻击者可以通过伪造包含受损 tshirtecommerce_design_cart_id GET 参数的 HTTP 请求,利用函数 hookActionCartSave 和 updateCustomizationTable 中的不安全参数,导致 SQL 注入攻击。此漏洞在2023年3月被利用。
## 影响版本
- tshirtecommerce 2.1.4
## 漏洞细节
攻击者可以通过伪造 HTTP 请求并包含受损的 tshirtecommerce_design_cart_id GET 参数来利用此漏洞。函数 hookActionCartSave 和 updateCustomizationTable 中的参数没有得到充分保护,从而导致 SQL 注入攻击。
## 影响
此漏洞可以被用于 SQL 注入攻击,可能会导致数据泄露、篡改或其他安全问题。2023年3月已经有人在野利用此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
An issue was discovered in the tshirtecommerce (aka Custom Product Designer) component 2.1.4 for PrestaShop. An HTTP request can be forged with a compromised tshirtecommerce_design_cart_id GET parameter in order to exploit an insecure parameter in the functions hookActionCartSave and updateCustomizationTable, which could lead to a SQL injection. This is exploited in the wild in March 2023.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PrestaShop SQL注入漏洞
漏洞描述信息
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop tshirtecommerce 2.1.4版本存在安全漏洞,该漏洞源于可以使用受损的tshirtecommerce_design_cart_id GET参数伪造HTTP请求,以利用函数hookActionCartSave和updateCustomizationTable中的不安全参数,这可能导致SQL注入。
CVSS信息
N/A
漏洞类别
SQL注入