PrestaShop vulnerável a XSS via formulário de contato do cliente no FO, através de upload de arquivo

O impacto desta vulnerabilidade é significativo, pois um atacante pode comprometer a segurança de todo o painel de administração do PrestaShop. Ao injetar um script malicioso através do upload de um arquivo, o atacante pode obter acesso à sessão do administrador e ao token de segurança. Isso permite que ele execute qualquer ação autenticada em nome do administrador, como modificar dados de produtos, alterar preços, criar contas de usuário maliciosas ou até mesmo roubar informações confidenciais dos clientes. A vulnerabilidade é particularmente perigosa porque a exploração não requer autenticação prévia, tornando-a acessível a qualquer pessoa que possa enviar um formulário de contato com um arquivo malicioso. A ausência de validação adequada dos arquivos anexados ao formulário de contato é a raiz do problema.

PrestaShop installations running versions 8.1.0 through 8.1.5 are at direct risk. Specifically, those deployments that have enabled the customer-thread feature flag through the front-office contact form are the most vulnerable. Shared hosting environments running PrestaShop are also at increased risk due to the potential for cross-tenant contamination.

• php: Examine PrestaShop installation logs for suspicious file uploads via the contact form. Look for unusual file extensions or filenames that might indicate malicious code.

 grep -i 'contact form upload' /var/log/prestashop/error.log

• generic web: Monitor access logs for requests to the contact form endpoint with unusual file uploads. Check response headers for signs of XSS payloads.

curl -I https://example.com/contact_form.php?attachment=malicious.php

• wordpress / composer / npm: (Not applicable - PrestaShop is PHP-based, not WordPress/Composer/npm) • database (mysql, redis, mongodb, postgresql): (Not applicable - vulnerability is not database-specific) • windows / supply-chain: (Not applicable - PrestaShop is not a Windows application) • linux / server: Monitor system processes for unusual PHP scripts being executed, particularly those related to file handling or session management. Use ps aux | grep php to identify running PHP processes.

1. 2024-05-14Disclosure

   disclosure

2. 2024-05-14Patch

   patch

1. Reservado2024-05-07
2. Publicada2024-05-14
3. Modificada2024-08-02
4. EPSS atualizado2026-04-02

A principal mitigação para esta vulnerabilidade é atualizar o PrestaShop para a versão 8.1.6, que corrige a falha de XSS. Se a atualização imediata não for possível, considere desativar temporariamente o recurso de thread de cliente no formulário de contato do front-office. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear uploads de arquivos suspeitos ou com extensões potencialmente perigosas. Monitore os logs do servidor em busca de atividades incomuns, como uploads de arquivos inesperados ou tentativas de acesso não autorizado ao painel de administração. Além disso, revise e reforce as políticas de segurança do servidor para garantir que apenas usuários autorizados tenham acesso ao painel de administração.