关联漏洞
标题:
PrestaShop SQL注入漏洞
(CVE-2023-27638)
描述:PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop tshirtecommerce 2.1.4版本存在安全漏洞,该漏洞源于可以使用受损的tshirtecommerce_design_cart_id GET参数伪造HTTP请求,以利用函数hookActionCartSave和updateCustomizationTable中的不安全参数,这可能导致SQL注入。
描述
The tshirtecommerce module for PrestaShop is vulnerable to unauthenticated SQL injection via the tshirtecommerce_design_cart_id parameter, allowing attackers to execute arbitrary SQL queries and extract sensitive information from the database. This is due to lack of input sanitization, as shown in the patch where pSQL() is now used.
文件快照
id: CVE-2023-27638
info:
name: tshirtecommerce PrestaShop Module - SQL Injection
author: ritikc
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。