Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en PrestaShop, un sistema de gestión de contenido (CMS) de código abierto pensado para construir sitios web de e-commerce desde cero. Según el reporte, la explotación exitosa de la falla permitiría la ejecución de código remoto en los sistemas afectados.
Identificada como CVE-2022-21686, la vulnerabilidad existe debido a la validación incorrecta de entradas al procesar plantillas twig en un diseño heredado. Los actores de amenazas remotos podrían enviar solicitudes especialmente diseñadas y ejecutar código PHP arbitrario en el sistema afectado.
Esta es una falla de alta severidad y recibió un puntaje de 8.5/10 según el Common Vulnerability Scoring System (CVSS), ya que su explotación exitosa permitiría el compromiso total del sistema afectado.
Según el reporte, la falla reside en las siguientes versiones de PrestaShop: 1.7.0.0, 1.7.0.0 alpha.3.0, 1.7.0.0 alpha.4.0, 1.7.0.0 beta.1.0, 1.7.0.0 beta.2.0, 1.7.0.0 beta.3.0, 1.7.0.0 RC0, 1.7.0.0 RC1, 1.7.0.0 RC2, 1.7.0.0 RC3, 1.7.0.1, 1.7.0.2, 1.7.0.3, 1.7.0.4, 1.7.0.5, 1.7.0.6, 1.7.1.0, 1.7.1.0 -, 1.7.1.1, 1.7.1.2, 1.7.2.0, 1.7.2.1, 1.7.2.2, 1.7.2.3, 1.7.2.4, 1.7.2.5, 1.7.3.0, 1.7.3.1, 1.7.3.2, 1.7.3.3, 1.7.3.4, 1.7.4.0, 1.7.4.1, 1.7.4.2, 1.7.4.3, 1.7.4.4, 1.7.5.0, 1.7.5.1, 1.7.5.2, 1.7.6.0, 1.7.6.1, 1.7.6.2, 1.7.6.3, 1.7.6.4, 1.7.6.5, 1.7.6.6, 1.7.6.7, 1.7.6.8, 1.7.6.9, 1.7.7.0, 1.7.7.1, 1.7.7.2, 1.7.7.3, 1.7.7.4, 1.7.7.5, 1.7.7.6, 1.7.7.7, 1.7.7.8, 1.7.8.0, 1.7.8.1 y 1.7.8.2.
Si bien la falla puede ser explotada de forma remota por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, los expertos en ciberseguridad recomiendan actualizar las implementaciones de PetaShop afectadas a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).