CVE-2026-33673PrestaShop是一款广泛使用的开源电子商务解决方案。在8.2.5和9.1.0版本之前,其后台管理系统(BO)存在严重的存储型跨站脚本(XSS)漏洞。该漏洞允许攻击者通过受限的后台访问权限或利用其他已知漏洞,将恶意数据注入数据库。由于后台模板中特定变量缺乏保护,当管理员查看受影响的数据时,恶意脚本将在其浏览器中执行。此漏洞可能导致管理员凭证被窃取、后台数据被篡改,甚至利用管理员权限进一步攻击系统。目前官方已发布修复版本,建议用户尽快更新。
CVE-2026-33673的核心问题在于PrestaShop后台模板渲染机制中缺乏对用户输入的严格过滤和输出编码。攻击者首先需要具备向数据库写入数据的能力,这通常通过拥有受限的后台账户,或者组合利用其他SQL注入或权限绕过漏洞来实现。一旦恶意载荷(如JavaScript代码)被成功注入并存储在数据库中,它就会持久化存在。当拥有更高权限的管理员用户登录后台并访问包含该恶意数据的页面时,服务器会直接将未经过滤的数据渲染到HTML响应中。此时,恶意脚本将在管理员浏览器的上下文中运行,利用其合法的Session ID执行操作。这种攻击方式隐蔽性强,因为恶意代码存储在服务器端,每次页面加载都会触发。由于CVSS向量显示范围变更(S:C),攻击者可能利用此漏洞从后台扩展攻击范围,甚至影响前台用户或其他关联系统,对系统的机密性、完整性和可用性造成严重影响。此外,高权限要求(PR:H)意味着内部威胁或权限提升是攻击链的关键环节。