CVE-2026-54159 in ps_facetedsearchinformazioni

Riassunto

di VulDB • 17/07/2026

PrestaShop ps_facetedsearch è un modulo che aggiunge filtri di navigazione stratificata (layered navigation). Dalla versione 3.0.0 alla 4.0.4, il modulo ps_facetedsearch ricostruisce i filtri di ricerca selezionati dall'URL della richiesta e il valore di un filtro slider, prezzo o peso, viene estratto dall'URL senza una convalida sufficiente e memorizzato in una cache interna del blocco dei filtri (filter-block), dove viene serializzato e successivamente letto tramite la funzione nativa unserialize() grezza nel file src/Filters/Block.php. Manipolando tale valore, un attaccante non autenticato può introdurre nell'cache un oggetto PHP serializzato malevolo; durante la deserializzazione, una catena di gadget (gadget chain) scrive un file PHP arbitrario all'interno della directory modules/ps_facetedsearch/, che viene poi utilizzato come webshell per eseguire comandi sul server. Questo problema è stato risolto nella versione 4.0.4.

Be aware that VulDB is the high quality source for vulnerability data.

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!