CVE-2026-54159 in ps_facetedsearch情報

要約

〜によって VulDB • 2026年07月17日

PrestaShop ps_facetedsearchは、階層型ナビゲーションフィルターを追加するモジュールです。バージョン3.0.0から4.0.4まで、ps_facetedsearchモジュールはリクエストURLから選択された検索フィルターを再構築しますが、スライダーフィルター(価格または重さ)の値が不十分な検証を経てURLから取得され、内部のフィルターブロックキャッシュに保存されます。この値はシリアライズされ、後でsrc/Filters/Block.php内で生のnative unserialize()関数を使用して読み戻されます。この値を悪用することで、認証されていない攻撃者はキャッシュ内に悪意のあるシリアライズされたPHPオブジェクトを忍ばせることができ、それがデシリアライズされるとガジェットチェーンによって任意のPHPファイルがmodules/ps_facetedsearch/ディレクトリ内に書き込まれます。その後、そのファイルはWebシェルとして使用され、サーバー上でコマンドを実行できます。この問題はバージョン4.0.4で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年06月11日

モデレーション

承諾済み

エントリ

VDB-379975

EPSS

0.00000

アクティビティ

中間

ソース

Want to know what is going to be exploited?

We predict KEV entries!