CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15102 – Improper access control on dashboard form in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15102
21 Jul 2020 — In PrestaShop Dashboard Productions before version 2.1.0, there is improper authorization which enables an attacker to change the configuration. The problem is fixed in 2.1.0. En PrestaShop Dashboard Productions versiones anteriores a 2.1.0, se presenta una autorización inapropiada que permite a un atacante cambiar la configuración. El problema es corregido en la versión 2.1.0 • https://github.com/PrestaShop/dashproducts/commit/f0799c13628a9b9ca6ca75c085b083d924a8ea7e • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2020-4074 – Improper Authentication
https://notcve.org/view.php?id=CVE-2020-4074
02 Jul 2020 — In PrestaShop from version 1.5.0.0 and before version 1.7.6.6, the authentication system is malformed and an attacker is able to forge requests and execute admin commands. The problem is fixed in 1.7.6.6. En PrestaShop desde versión 1.5.0.0 y anteriores a la versión 1.7.6.6, el sistema de autenticación es malformado y un atacante es capaz de falsificar peticiones y ejecutar comandos de administración. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/30b6a7bdaca9cb940d3ce462906dbb062499fc30 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15082 – External control of configuration setting in the dashboard in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15082
02 Jul 2020 — In PrestaShop from version 1.6.0.1 and before version 1.7.6.6, the dashboard allows rewriting all configuration variables. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.6.0.1 y anteriores a versión 1.7.6.6, el panel permite reescribir todas las variables de configuración. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/0f0d6238169a79d94f5ef28d24e60a9be8902f4b •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15083 – Reflected XSS when uploading an image in the Product page in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15083
02 Jul 2020 — In PrestaShop from version 1.7.0.0 and before version 1.7.6.6, if a target sends a corrupted file, it leads to a reflected XSS. The problem is fixed in 1.7.6.6 En PrestaShop desde versión 1.7.0.0 y anteriores a versión 1.7.6.6, si un objetivo envía un archivo corrupto, esto conlleva a una vulnerabilidad de tipo XSS reflejado. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/bac749bf75a4e0d6312a70b37eb5b0a556f08fbd • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-11074 – Stored XSS in PrestaShop
https://notcve.org/view.php?id=CVE-2020-11074
02 Jul 2020 — In PrestaShop from version 1.5.3.0 and before version 1.7.6.6, there is a stored XSS when using the name of a quick access item. The problem is fixed in 1.7.6.6. En PrestaShop desde versión 1.5.3.0 y anteriores a versión 1.7.6.6, se presenta una vulnerabilidad de tipo XSS almacenado cuando se usa el nombre de un elemento de acceso rápido. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/d122b82bcc2ad8a7b05cfffc03df6c2cae08efe8 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15079 – Improper access control in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15079
02 Jul 2020 — In PrestaShop from version 1.5.0.0 and before version 1.7.6.6, there is improper access control in Carrier page, Module Manager and Module Positions. The problem is fixed in version 1.7.6.6 En PrestaShop desde versión 1.5.0.0 y anteriores a versión 1.7.6.6, se presenta un control de acceso inapropiado en la página Carrier, Module Manager y Module Positions. El problema es corregido en versión 1.7.6.6 • https://github.com/PrestaShop/PrestaShop/commit/8833d9504cc5d69a2a6d10197f56f0c11443cbfa • CWE-284: Improper Access Control •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15080 – Information disclosure in release archive in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15080
02 Jul 2020 — In PrestaShop from version 1.7.4.0 and before version 1.7.6.6, some files should not be in the release archive, and others should not be accessible. The problem is fixed in version 1.7.6.6 A possible workaround is to make sure `composer.json` and `docker-compose.yml` are not accessible on your server. En PrestaShop desde versión 1.7.4.0 y anteriores a versión 1.7.6.6, algunos archivos no deberían estar en el archivo de publicación, y otros no deberían ser accesibles. El problema es corregido en versión 1.7.... • https://github.com/PrestaShop/PrestaShop/commit/35ef7e9d892287c302df1fc5aa05ecfc6f15bc76 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15081 – Information exposure in the upload directory in PrestaShop
https://notcve.org/view.php?id=CVE-2020-15081
02 Jul 2020 — In PrestaShop from version 1.5.0.0 and before 1.7.6.6, there is information exposure in the upload directory. The problem is fixed in version 1.7.6.6. A possible workaround is to add an empty index.php file in the upload directory. En PrestaShop desde versión 1.5.0.0 y anteriores a 1.7.6.6, se presenta una exposición de información en el directorio de carga. El problema es corregido en versión 1.7.6.6. • https://github.com/PrestaShop/PrestaShop/commit/bac9ea6936b073f84b1abd9864317af3713f1901 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-548: Exposure of Information Through Directory Listing •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-12120
https://notcve.org/view.php?id=CVE-2020-12120
27 Apr 2020 — The Correos Express addon for PrestaShop 1.6 through 1.7 allows remote attackers to obtain sensitive information, such as a service's owner password that can be used to modify orders via SOAP. Attackers can also retrieve information about orders or buyers. El addon Correos Express para PrestaShop versiones 1.6 hasta 1.7, permite a atacantes remotos obtener información confidencial, tal y como la contraseña de propietario del servicio que puede ser usada para modificar los pedidos por medio de SOAP. Los atac... • https://addons.prestashop.com/en/delivery-date/27273-correos-express-solutions-of-urgent-transport.html • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-5286 – Reflected XSS related in import page in PrestaShop
https://notcve.org/view.php?id=CVE-2020-5286
20 Apr 2020 — In PrestaShop between versions 1.7.4.0 and 1.7.6.5, there is a reflected XSS when uploading a wrong file. The problem is fixed in 1.7.6.5 En PrestaShop entre las versiones 1.7.4.0 y 1.7.6.5, hay una vulnerabilidad de tipo XSS reflejado cuando se carga un archivo incorrecto. El problema se corrigió en la versión 1.7.6.5. • https://github.com/PrestaShop/PrestaShop/commit/fc0625fb0a9aab1835515f1bea52e8e063384da7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •