CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15082 – External control of configuration setting in the dashboard in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15082
In PrestaShop from version 1.6.0.1 and before version 1.7.6.6, the dashboard allows rewriting all configuration variables. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/0f0d6238169a79d94f5ef28d24e60a9be8902f4b https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mc98-xjm3-c4fm •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15083 – Reflected XSS when uploading an image in the Product page in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15083
In PrestaShop from version 1.7.0.0 and before version 1.7.6.6, if a target sends a corrupted file, it leads to a reflected XSS. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/bac749bf75a4e0d6312a70b37eb5b0a556f08fbd https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-qgh4-95j7-p3vj • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-11074 – Stored XSS in PrestaShop
https://notcve.org/view.php?id=CVE-2020-11074
In PrestaShop from version 1.5.3.0 and before version 1.7.6.6, there is a stored XSS when using the name of a quick access item. The problem is fixed in 1.7.6.6. En PrestaShop desde versión 1.5.3.0 y anteriores a versión 1.7.6.6, se presenta una vulnerabilidad de tipo XSS almacenado cuando se usa el nombre de un elemento de acceso rápido. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/d122b82bcc2ad8a7b05cfffc03df6c2cae08efe8 https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-v4pg-q2cv-f7x4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15079 – Improper access control in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15079
In PrestaShop from version 1.5.0.0 and before version 1.7.6.6, there is improper access control in Carrier page, Module Manager and Module Positions. The problem is fixed in version 1.7.6.6 En PrestaShop desde versión 1.5.0.0 y anteriores a versión 1.7.6.6, se presenta un control de acceso inapropiado en la página Carrier, Module Manager y Module Positions. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/8833d9504cc5d69a2a6d10197f56f0c11443cbfa https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-xp3x-3h8q-c386 • CWE-284: Improper Access Control •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15080 – Information disclosure in release archive in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15080
In PrestaShop from version 1.7.4.0 and before version 1.7.6.6, some files should not be in the release archive, and others should not be accessible. The problem is fixed in version 1.7.6.6 A possible workaround is to make sure `composer.json` and `docker-compose.yml` are not accessible on your server. En PrestaShop desde versión 1.7.4.0 y anteriores a versión 1.7.6.6, algunos archivos no deberían estar en el archivo de publicación, y otros no deberían ser accesibles. El problema es corregido en versión 1.7.6.6. Una posible solución alternativa es asegurarse de que "composer.json" y "docker-compose.yml" no sean accesibles en su servidor • https://github.com/PrestaShop/PrestaShop/commit/35ef7e9d892287c302df1fc5aa05ecfc6f15bc76 https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-492w-2pp5-xhvg • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •