CVE-2025-69633
KrytyczneStreszczenie
W module Advanced Popup Creator dla PrestaShop w wersjach od 1.1.26 do 1.2.6 występuje podatność typu SQL Injection. Umożliwia ona zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez parametr fromController w kontrolerze popup.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co stwarza poważne zagrożenie dla integralności i poufności danych organizacji.
Rekomendacja
Zaleca się aktualizację modułu Advanced Popup Creator do wersji 1.2.7, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.
Oryginalny opis (angielski, źródło NVD)
A SQL Injection vulnerability in the Advanced Popup Creator (advancedpopupcreator) module for PrestaShop 1.1.26 through 1.2.6 (Fixed in version 1.2.7) allows remote unauthenticated attackers to execute arbitrary SQL queries via the fromController parameter in the popup controller. The parameter is passed unsanitized to SQL queries in classes/AdvancedPopup.php (getPopups() and updateVisits() functions).

