CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69633

Critical
Published: Translated: NVD NIST

Summary

W module Advanced Popup Creator dla PrestaShop w wersjach od 1.1.26 do 1.2.6 występuje podatność typu SQL Injection. Umożliwia ona zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez parametr fromController w kontrolerze popup.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co stwarza poważne zagrożenie dla integralności i poufności danych organizacji.

Recommendation

Zaleca się aktualizację modułu Advanced Popup Creator do wersji 1.2.7, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.

Original NVD description (English source)

A SQL Injection vulnerability in the Advanced Popup Creator (advancedpopupcreator) module for PrestaShop 1.1.26 through 1.2.6 (Fixed in version 1.2.7) allows remote unauthenticated attackers to execute arbitrary SQL queries via the fromController parameter in the popup controller. The parameter is passed unsanitized to SQL queries in classes/AdvancedPopup.php (getPopups() and updateVisits() functions).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS