一、 漏洞 CVE-2023-47109 基础信息
漏洞标题
PrestaShop 模块保障BO用户可以通过添加和删除区块时删除服务器上的任何文件。
来源:AIGC 神龙大模型
漏洞描述信息
PrestaShop blockreassurance BO 用户在添加和删除块时可以删除服务器上的任何文件
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
PrestaShop blockreassurance BO User can remove any file from server when adding a and deleting a block
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PrestaShop blockreassurance adds an information block aimed at offering helpful information to reassure customers that the store is trustworthy. When adding a block in blockreassurance module, a BO user can modify the http request and give the path of any file in the project instead of an image. When deleting the block from the BO, the file will be deleted. It is possible to make the website completely unavailable by removing index.php for example. This issue has been patched in version 5.1.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
PrestaShop 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop blockreassurance 5.1.4之前版本存在授权问题漏洞,该漏洞源于当在blockreassurance模块中添加块时,BO用户可以修改http请求并给出项目中任何文件的路径,当从BO中删除该块时,该文件将被删除。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-47109 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-47109 的情报信息