CVE-2026-54159 in ps_facetedsearch
Resumen
por VulDB • 2026-07-17
PrestaShop ps_facetedsearch es un módulo que añade filtros de navegación estratificada (layered navigation). Desde la versión 3.0.0 hasta la 4.0.4, el módulo ps_facetedsearch reconstruye los filtros de búsqueda seleccionados a partir de la URL de la solicitud, y el valor de un filtro tipo slider, ya sea precio o peso, se obtiene directamente desde la URL sin una validación suficiente y se almacena en una caché interna del bloque de filtros donde es serializado. Posteriormente, este dato se lee mediante una llamada nativa a `unserialize()` sin sanitizar (raw native unserialize()) ubicada en src/Filters/Block.php. Mediante la manipulación de dicho valor, un atacante no autenticado puede introducir un objeto PHP serializado malicioso dentro de la caché; al ser deserializado, se activa una cadena de gadgets (gadget chain) que escribe un archivo PHP arbitrario dentro del directorio modules/ps_facetedsearch/, el cual es utilizado posteriormente como webshell para ejecutar comandos en el servidor. Este problema está corregido en la versión 4.0.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.