PrestaShop चेकआउट ग्राहक खाते को ईमेल के माध्यम से हैक करने की अनुमति देता है
प्लेटफ़ॉर्म
php
घटक
prestashop/ps_checkout
में ठीक किया गया
1.3.1
5.0.1
4.4.1
CVE-2025-61922 is a critical vulnerability affecting the ps_checkout module in PrestaShop. This vulnerability allows for a silent log-in through the Express Checkout feature, potentially granting attackers unauthorized access to user accounts and sensitive data. The vulnerability impacts PrestaShop versions 1.3.0 and earlier, with fixes released in versions 4.4.1, 5.0.5 for PrestaShop 1.7, 8, and 9.
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The core of this vulnerability lies in the lack of proper validation within the Express Checkout functionality of the ps_checkout module. An attacker can exploit this by crafting a malicious request that bypasses authentication checks, effectively logging in as another user without their knowledge or consent. This silent log-in grants the attacker full access to the affected user's account, enabling them to modify personal information, place fraudulent orders, access payment details, and potentially compromise other connected systems. The potential blast radius extends to all users who utilize the Express Checkout feature in vulnerable PrestaShop installations, particularly those with administrative privileges.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2025-61922 was publicly disclosed on October 16, 2025. While no active exploitation campaigns have been publicly confirmed, the critical severity and ease of exploitation suggest a high probability of exploitation. The vulnerability is not currently listed on CISA KEV. Public proof-of-concept code may emerge, increasing the risk of widespread exploitation.
कौन जोखिम में हैअनुवाद हो रहा है…
PrestaShop e-commerce stores utilizing the ps_checkout module, particularly those running older versions (≤v3.0.2) and those relying heavily on the Express Checkout feature for customer convenience. Shared hosting environments running PrestaShop are also at increased risk due to potential vulnerabilities in the underlying server configuration.
पहचान के चरणअनुवाद हो रहा है…
• php: Examine PrestaShop module directories for the ps_checkout module version.
find /var/www/prestashop/modules/ -name 'ps_checkout' -print• php: Check PrestaShop configuration files for the version number.
grep 'ps_checkout' /var/www/prestashop/config/defines.inc.php• generic web: Monitor PrestaShop access logs for unusual login attempts or requests targeting the Express Checkout endpoint. Look for POST requests with suspicious parameters. • generic web: Review PrestaShop error logs for any errors related to authentication or Express Checkout.
हमले की समयरेखा
- Patch
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- अंतिम अपडेट
- V9.4.3.312 महीने पहले
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation for CVE-2025-61922 is to immediately upgrade the ps_checkout module to version 4.4.1 or later, or to PrestaShop versions 7.4.4.1, 8.4.4.1, 7.5.0.5, 8.5.0.5, or 9.5.0.5. If upgrading is not immediately feasible, consider temporarily disabling the Express Checkout feature to prevent exploitation. Web Application Firewalls (WAFs) configured to inspect and filter HTTP requests can be deployed to block malicious payloads targeting the Express Checkout endpoint. Review PrestaShop's security best practices and ensure all other modules are up-to-date to minimize the overall attack surface. After upgrade, confirm the vulnerability is resolved by attempting an Express Checkout with a test user account and verifying that authentication is properly enforced.
कैसे ठीक करें
ps_checkout मॉड्यूल को संस्करण 4.4.1 या उच्चतर, या संस्करण 5.0.5 या उच्चतर में अपडेट करें। यह एक्सप्रेस चेकआउट फ़ंक्शन में सत्यापन चूक की भेद्यता को ठीक करेगा जो ईमेल के माध्यम से खाते के नियंत्रण की अनुमति देता है। अपडेट PrestaShop व्यवस्थापक पैनल के माध्यम से किया जा सकता है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-61922 — Silent Log-in in PrestaShop PS_Checkout?
CVE-2025-61922 is a critical vulnerability in the PrestaShop ps_checkout module that allows attackers to silently log in users without authentication, potentially gaining unauthorized access.
Am I affected by CVE-2025-61922 in PrestaShop PS_Checkout?
You are affected if you are running PrestaShop with the ps_checkout module version 3.0.2 or earlier. Upgrade to a patched version to mitigate the risk.
How do I fix CVE-2025-61922 in PrestaShop PS_Checkout?
Upgrade the ps_checkout module to version 4.4.1 or later, or upgrade to PrestaShop versions 7.4.4.1, 8.4.4.1, 7.5.0.5, 8.5.0.5, or 9.5.0.5.
Is CVE-2025-61922 being actively exploited?
While no active exploitation campaigns have been publicly confirmed, the critical severity suggests a high probability of exploitation.
Where can I find the official PrestaShop advisory for CVE-2025-61922?
Refer to the official PrestaShop security advisory for detailed information and updates: [https://security.prestashop.com/](https://security.prestashop.com/)
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।