Plataforma
php
Componente
prestashop/prestashop
Corregido en
9.0.1
8.2.6
9.1.0
La vulnerabilidad CVE-2026-33673 es una serie de vulnerabilidades de Cross-Site Scripting (XSS) almacenadas en PrestaShop. Un atacante con acceso limitado al back-office, o aprovechando una vulnerabilidad preexistente, puede inyectar datos en la base de datos y explotar variables no protegidas en las plantillas del back-office. Esta vulnerabilidad afecta a las versiones de PrestaShop hasta la 9.1.0-rc.1 y ha sido parcheada en las versiones 8.2.5 y 9.1.0.
La explotación exitosa de estas vulnerabilidades XSS almacenadas permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario con privilegios de administrador. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, la modificación de contenido del sitio web o incluso el control total de la tienda PrestaShop. El impacto es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos del cliente y la reputación de la empresa. La inyección de código malicioso en el back-office podría permitir la manipulación de pedidos, la modificación de información del cliente y el acceso a datos sensibles.
Actualmente, no se dispone de información pública sobre la explotación activa de CVE-2026-33673. La vulnerabilidad ha sido publicada el 2026-03-25. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La falta de un PoC público no significa que la vulnerabilidad no pueda ser explotada, especialmente por actores con habilidades técnicas avanzadas.
PrestaShop installations running versions 9.1.0-rc.1 and earlier are at risk. This includes businesses using PrestaShop for e-commerce, particularly those with limited security expertise or those who have not implemented robust input validation practices. Shared hosting environments running PrestaShop are also at increased risk, as vulnerabilities in one installation could potentially impact others.
• php: Examine back-office templates for unprotected variables. Search for instances where user-supplied data is directly rendered without proper encoding.
find /path/to/prestashop/templates -name '*.tpl' -print0 | xargs -0 grep -i '{{(.*?)}}' • generic web: Monitor access logs for unusual POST requests to back-office endpoints. Look for patterns indicative of XSS payload injection.
grep -i 'script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33673 es actualizar PrestaShop a la versión 9.1.0 o superior, donde la vulnerabilidad ha sido corregida. Dado que no se proporcionan workarounds específicos, la actualización es la única solución viable. Antes de actualizar, se recomienda realizar una copia de seguridad completa de la base de datos y los archivos del sitio web. Después de la actualización, es crucial verificar que todas las funcionalidades del back-office sigan funcionando correctamente. Se recomienda realizar pruebas exhaustivas en un entorno de pruebas antes de aplicar la actualización en producción.
Actualice PrestaShop a la versión 8.2.5 o 9.1.0, o a una versión posterior, para corregir las vulnerabilidades XSS almacenadas. No existen workarounds conocidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33673 is a stored Cross-Site Scripting (XSS) vulnerability affecting PrestaShop versions up to 9.1.0-rc.1. Attackers can inject malicious scripts into the back office, potentially leading to account takeover.
Yes, if you are running PrestaShop versions 9.1.0-rc.1 or earlier, you are vulnerable to this XSS vulnerability. Upgrade to version 9.1.0 or 8.2.5 to mitigate the risk.
The recommended fix is to upgrade to PrestaShop version 9.1.0 or 8.2.5. No specific workarounds are provided.
As of now, there are no confirmed reports of active exploitation, but given the nature of the vulnerability, it's prudent to assume attackers may seek to exploit it.
Refer to the official PrestaShop security advisory for detailed information and updates regarding CVE-2026-33673.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.