Katalog CVE

CVE-2026-44212

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W PrestaShop, przed wersjami 8.2.6 i 9.1.1, występuje podatność typu Cross-Site Scripting (XSS) w widoku obsługi klienta w panelu administracyjnym. Atakujący bez uwierzytelnienia może przesłać złośliwy adres e-mail przez formularz kontaktowy, co prowadzi do przechwycenia sesji i pełnej kontroli nad panelem administracyjnym.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym przejęcie kontroli nad systemem zarządzania, co może prowadzić do wycieku danych klientów oraz innych działań szkodliwych.

Rekomendacja

Zaleca się aktualizację PrestaShop do wersji 8.2.6 lub 9.1.1, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

PrestaShop is an open source e-commerce web application. Prior to 8.2.6 and 9.1.1, there is a stored Cross-Site Scripting (XSS) vulnerability in the PrestaShop back-office Customer Service view. An unauthenticated attacker can submit the public Contact Us form with a malicious email address. The payload is stored in the database and executed when a back-office employee opens the affected customer thread, enabling session hijacking and full back-office takeover. This vulnerability is fixed in 8.2.6 and 9.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS