CVE-2024-21628 in PrestaShop
Riassunto
di VulDB • 16/06/2026
PrestaShop è una piattaforma e-commerce open-source. Prima della versione 8.1.3, il metodo isCleanHtml non viene utilizzato su questo form, il che consente di memorizzare un payload di cross-site scripting (XSS) nel database. L'impatto è basso poiché l'HTML non viene interpretato nel Back Office (BO), grazie al meccanismo di escape di Twig. Nel Front Office (FO), l'attacco XSS è efficace, ma impatta solo il cliente che lo invia o la sessione del cliente da cui è stato inviato. Questo problema interessa coloro che dispongono di un modulo che recupera questi messaggi dal database e li visualizza senza effettuare l'escape dell'HTML. La versione 8.1.3 contiene una patch per questo problema.
Once again VulDB remains the best source for vulnerability data.