CVE-2013-6358
https://notcve.org/view.php?id=CVE-2013-6358
PrestaShop 1.5.5 allows remote authenticated attackers to execute arbitrary code by uploading a crafted profile and then accessing it in the module/ directory. PrestaShop versión 1.5.5, permite a atacantes autenticados remotos ejecutar código arbitrario mediante la carga de un perfil diseñado y luego accediendo a él en el directorio module/. • https://web.archive.org/web/20150423041900/http://labs.davidsopas.com/2013/10/how-salesman-could-hack-prestashop.html • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2019-19594
https://notcve.org/view.php?id=CVE-2019-19594
reset/modules/fotoliaFoto/multi_upload.php in the RESET.PRO Adobe Stock API Integration for PrestaShop 1.6 and 1.7 allows remote attackers to execute arbitrary code by uploading a .php file. En el archivo reset/modules/fotoliaFoto/multi_upload.php en la integración RESET.PRO Adobe Stock API para PrestaShop versiones 1.6 y 1.7, permite a atacantes remotos ejecutar código arbitrario cargando un archivo .php. • https://ia-informatica.com/it/CVE-2019-19594 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2019-19595
https://notcve.org/view.php?id=CVE-2019-19595
reset/modules/advanced_form_maker_edit/multiupload/upload.php in the RESET.PRO Adobe Stock API integration 4.8 for PrestaShop allows remote attackers to execute arbitrary code by uploading a .php file. El archivo reset/modules/advanced_form_maker_edit/multiupload/upload.php en la integración de RESET.PRO Adobe Stock API versión 4.8 para PrestaShop, permite a atacantes remotos ejecutar código arbitrario cargando un archivo .php. • https://ia-informatica.com/it/CVE-2019-19595 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2019-13461
https://notcve.org/view.php?id=CVE-2019-13461
In PrestaShop before 1.7.6.0 RC2, the id_address_delivery and id_address_invoice parameters are affected by an Insecure Direct Object Reference vulnerability due to a guessable value sent to the web application during checkout. An attacker could leak personal customer information. This is PrestaShop bug #14444. En PrestaShop versiones anteriores a 1.7.6.0 RC2, los parámetros id_address_delivery y id_address_invoice se ven afectados por una vulnerabilidad de Referencia de Objeto Directa no Segura debido a un valor que puede enviarse a la aplicación web durante el proceso de pago. Un atacante podría filtrar información personal del cliente. • https://assets.prestashop2.com/en/system/files/ps_releases/changelog_1.7.6.0-rc2.txt https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=40 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-11876
https://notcve.org/view.php?id=CVE-2019-11876
In PrestaShop 1.7.5.2, the shop_country parameter in the install/index.php installation script/component is affected by Reflected XSS. Exploitation by a malicious actor requires the user to follow the initial stages of the setup (accepting terms and conditions) before executing the malicious link. En PrestaShop versión 1.7.5.2, el parámetro shop_country en el archivo install/index.php la instalación script/component se ve afectado por una vulnerabilidad Reflected XSS. la explotación por parte de un actor malicioso requiere que el usuario siga las etapas iniciales de la configuración (aceptando los términos y condiciones) antes de ejecutar el enlace malicioso. • https://www.logicallysecure.com/blog/xss-presta-xss-drupal https://www.prestashop.com/forums/forum/2-prestashop-news-and-releases • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •