CVE-2026-54159 in ps_facetedsearchالمعلومات

الملخص

بحسب VulDB • 17/07/2026

يُعد ps_facetedsearch في PrestaShop وحدة (module) تضيف مرشحات للتنقل الطبقي. من الإصدار 3.0.0 حتى 4.0.4، تعيد وحدة ps_facetedsearch بناء المرشحات المحددة للبحث باستخدام عنوان URL الخاص بالطلب، حيث تُستخرج قيمة مرشح شريط التمرير (slider filter)، سواء كان للسعر أو الوزن، من عنوان URL دون التحقق منه بشكل كافٍ، ثم يُخزن في ذاكرة التخزين المؤقت الداخلية لكتلة الفلترة (filter-block cache) حيث يتم تسلسله (serialization). لاحقاً، تُقرأ هذه القيمة باستخدام دالة unserialize() الأصلية الخام الموجودة في src/Filters/Block.php. ومن خلال صياغة قيمة مخصصة، يمكن لمهاجم غير مصرح له بإجراء المصادقة حقن كائن PHP مسلسل ضار داخل ذاكرة التخزين المؤقت، وعند فك تسلسله (deserialization)، تقوم سلسلة الأدوات (gadget chain) بكتابة ملف PHP عشوائي داخل دليل modules/ps_facetedsearch/. يُستخدم هذا الملف لاحقاً كشيل ويب (webshell) لتنفيذ الأوامر على الخادم. تم إصلاح هذه المشكلة في الإصدار 4.0.4.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

11/06/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379975

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!