CVSS: 9.8EPSS: 14%CPEs: 1EXPL: 1CVE-2021-43789 – Blind SQLi using Search filters in PrestaShop
https://notcve.org/view.php?id=CVE-2021-43789
07 Dec 2021 — PrestaShop is an Open Source e-commerce web application. Versions of PrestaShop prior to 1.7.8.2 are vulnerable to blind SQL injection using search filters with `orderBy` and `sortOrder` parameters. The problem is fixed in version 1.7.8.2. PrestaShop es una aplicación web de comercio electrónico de código abierto. Las versiones de PrestaShop anteriores a 1.7.8.2, son vulnerables a una inyección SQL ciega usando filtros de búsqueda con los parámetros "orderBy" y "sortOrder". • https://github.com/numanturle/CVE-2021-43789 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21308 – Improper session management for soft logout
https://notcve.org/view.php?id=CVE-2021-21308
26 Feb 2021 — PrestaShop is a fully scalable open source e-commerce solution. In PrestaShop before version 1.7.2 the soft logout system is not complete and an attacker is able to foreign request and executes customer commands. The problem is fixed in 1.7.7.2 PrestaShop es una solución de comercio electrónico de código abierto totalmente escalable. En PrestaShop versiones anteriores a 1.7.2, el sistema de cierre de sesión suave no está completo y un atacante puede realizar peticiones externas y ejecutar comandos del clien... • https://github.com/PrestaShop/PrestaShop/commit/2f673bd93e313f08c35e74decc105f40dc0b7dee • CWE-287: Improper Authentication •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21302 – CSV Injection via csv export
https://notcve.org/view.php?id=CVE-2021-21302
26 Feb 2021 — PrestaShop is a fully scalable open source e-commerce solution. In PrestaShop before version 1.7.2 there is a CSV Injection vulnerability possible by using shop search keywords via the admin panel. The problem is fixed in 1.7.7.2 PrestaShop es una solución de comercio electrónico de código abierto totalmente escalable. En PrestaShop versiones anteriores a 1.7.2, se presenta una posible vulnerabilidad de inyección de CSV al usar de palabras clave de búsqueda de la tienda por medio del panel de administración... • https://github.com/PrestaShop/PrestaShop/commit/782b1368aa4e94dafe28f57485bffbd8893fbb1e • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-26224 – Improper Access Control in PrestaShop
https://notcve.org/view.php?id=CVE-2020-26224
16 Nov 2020 — In PrestaShop before version 1.7.6.9 an attacker is able to list all the orders placed on the website without being logged by abusing the function that allows a shopping cart to be recreated from an order already placed. The problem is fixed in 1.7.6.9. En PrestaShop anterior a versión 1.7.6.9, un atacante es capaz de enumerar todos los pedidos realizados en el sitio web sin estar registrados al abusar de la función que permite a un carrito de compras ser recreado a partir de un pedido ya realizado. El... • https://github.com/PrestaShop/PrestaShop/commit/709d9afab7bdba1de5d7225a40e4f28c35975909 • CWE-284: Improper Access Control •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15162 – Stored XSS in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15162
24 Sep 2020 — In PrestaShop from version 1.5.0.0 and before version 1.7.6.8, users are allowed to send compromised files. These attachments allowed people to input malicious JavaScript which triggered an XSS payload. The problem is fixed in version 1.7.6.8. En PrestaShop a partir de la versión 1.5.0.0 y antes de la versión 1.7.6.8, los usuarios pueden enviar archivos comprometidos. Estos archivos adjuntos permitieron a la gente introducir JavaScript malicioso que desencadenó una carga útil de XSS. • https://github.com/PrestaShop/PrestaShop/commit/2cfcd33c75974a49f17665f294f228454e14d9cf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 28%CPEs: 1EXPL: 2CVE-2020-15160 – Blind SQL Injection in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15160
24 Sep 2020 — PrestaShop from version 1.7.5.0 and before version 1.7.6.8 is vulnerable to a blind SQL Injection attack in the Catalog Product edition page with location parameter. The problem is fixed in 1.7.6.8 PrestaShop a partir de la versión 1.7.5.0 y antes de la versión 1.7.6.8 es vulnerable a un ataque ciego de Inyección SQL en la página de edición del Catálogo de Productos con parámetro de localización. El problema se soluciona en la versión 1.7.6.8 PrestaShop version 1.7.6.7 suffers from a remote blind SQL inject... • https://packetstorm.news/files/id/162140 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15161 – Potential XSS in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15161
24 Sep 2020 — In PrestaShop from version 1.6.0.4 and before version 1.7.6.8 an attacker is able to inject javascript while using the contact form. The problem is fixed in 1.7.6.8 En PrestaShop a partir de la versión 1.6.0.4 y antes de la versión 1.7.6.8 un atacante es capaz de inyectar javascript mientras usa el formulario de contacto. El problema se soluciona en la versión 1.7.6.8 • https://github.com/PrestaShop/PrestaShop/commit/562a231fec18a928e4a601860416fe11af274672 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2020-4074 – Improper Authentication
https://notcve.org/view.php?id=CVE-2020-4074
02 Jul 2020 — In PrestaShop from version 1.5.0.0 and before version 1.7.6.6, the authentication system is malformed and an attacker is able to forge requests and execute admin commands. The problem is fixed in 1.7.6.6. En PrestaShop desde versión 1.5.0.0 y anteriores a la versión 1.7.6.6, el sistema de autenticación es malformado y un atacante es capaz de falsificar peticiones y ejecutar comandos de administración. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/30b6a7bdaca9cb940d3ce462906dbb062499fc30 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15082 – External control of configuration setting in the dashboard in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15082
02 Jul 2020 — In PrestaShop from version 1.6.0.1 and before version 1.7.6.6, the dashboard allows rewriting all configuration variables. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/0f0d6238169a79d94f5ef28d24e60a9be8902f4b •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15083 – Reflected XSS when uploading an image in the Product page in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15083
02 Jul 2020 — In PrestaShop from version 1.7.0.0 and before version 1.7.6.6, if a target sends a corrupted file, it leads to a reflected XSS. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/bac749bf75a4e0d6312a70b37eb5b0a556f08fbd • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •