CVE-2025-69633
CriticalSummary
W module Advanced Popup Creator dla PrestaShop w wersjach od 1.1.26 do 1.2.6 występuje podatność typu SQL Injection. Umożliwia ona zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez parametr fromController w kontrolerze popup.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co stwarza poważne zagrożenie dla integralności i poufności danych organizacji.
Recommendation
Zaleca się aktualizację modułu Advanced Popup Creator do wersji 1.2.7, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.
Original NVD description (English source)
A SQL Injection vulnerability in the Advanced Popup Creator (advancedpopupcreator) module for PrestaShop 1.1.26 through 1.2.6 (Fixed in version 1.2.7) allows remote unauthenticated attackers to execute arbitrary SQL queries via the fromController parameter in the popup controller. The parameter is passed unsanitized to SQL queries in classes/AdvancedPopup.php (getPopups() and updateVisits() functions).

