CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-46351
https://notcve.org/view.php?id=CVE-2023-46351
In the module mib < 1.6.1 from MyPresta.eu for PrestaShop, a guest can perform SQL injection. The methods `mib::getManufacturersByCategory()` has sensitive SQL calls that can be executed with a trivial http call and exploited to forge a SQL injection. En el módulo mib < 1.6.1 de MyPresta.eu para PrestaShop, un invitado puede realizar una inyección SQL. Los métodos `mib::getManufacturersByCategory()` tienen llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL. • https://mypresta.eu/modules/front-office-features/manufacturers-brands-images-block.html https://security.friendsofpresta.org/modules/2024/01/18/mib.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-46353
https://notcve.org/view.php?id=CVE-2023-46353
In the module "Product Tag Icons Pro" (ticons) before 1.8.4 from MyPresta.eu for PrestaShop, a guest can perform SQL injection. The method TiconProduct::getTiconByProductAndTicon() has sensitive SQL calls that can be executed with a trivial http call and exploited to forge a SQL injection. En el módulo "Product Tag Icons Pro" (ticones) anterior a 1.8.4 de MyPresta.eu para PrestaShop, un invitado puede realizar una inyección SQL. El método TiconProduct::getTiconByProductAndTicon() tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL. • https://security.friendsofpresta.org/modules/2023/11/28/ticons.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2023-45386
https://notcve.org/view.php?id=CVE-2023-45386
In the module extratabspro before version 2.2.8 from MyPresta.eu for PrestaShop, a guest can perform SQL injection via `extratabspro::searchcategory()`, `extratabspro::searchproduct()` and `extratabspro::searchmanufacturer().' En el módulo extratabspro anterior a la versión 2.2.8 de MyPresta.eu para PrestaShop, un invitado puede realizar una inyección SQL a través de `extratabspro::searchcategory()`, `extratabspro::searchproduct()` y `extratabspro::searchmanufacturer().' • https://security.friendsofpresta.org/modules/2023/10/12/extratabspro.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-40814
https://notcve.org/view.php?id=CVE-2021-40814
The Customer Photo Gallery addon before 2.9.4 for PrestaShop is vulnerable to SQL injection. El addon Customer Photo Gallery versiones anteriores a 2.9.4, para PrestaShop es vulnerable a una inyección SQL • https://www.getastra.com/blog/911/plugin-exploit/prestashops-customer-photo-gallery-module-vulnerable-to-sql-injection-attacks • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 1CVE-2018-19355
https://notcve.org/view.php?id=CVE-2018-19355
modules/orderfiles/ajax/upload.php in the Customer Files Upload addon 2018-08-01 for PrestaShop (1.5 through 1.7) allows remote attackers to execute arbitrary code by uploading a php file via modules/orderfiles/upload.php with auptype equal to product (for upload destinations under modules/productfiles), order (for upload destinations under modules/files), or cart (for upload destinations under modules/cartfiles). modules/orderfiles/ajax/upload.php en el addon Customer Files Upload 2018-08-01 para PrestaShop (de la versión 1.5 hasta la 1.7) permite que atacantes remotos ejecuten código arbitrario mediante la subida de un archivo php mediante modules/orderfiles/upload.php con auptype igual a product (para los destinos de subida en modules/productfiles), order (para los destinos de subida en modules/files) o cart (para los destinos de subida en modules/cartfiles). • https://ia-informatica.com/it/CVE-2018-19355 • CWE-434: Unrestricted Upload of File with Dangerous Type •