Vulnerabilidad de inyección SQL en PrestaShop 

Se ha reportado una vulnerabilidad de día cero (0-day) en PrestaShop que está siendo explotada activamente y que permitiría a un atacante ejecutar consultas SQL arbitrarias y robar información confidencial. 

La vulnerabilidad identificada como CVE-2022-36408, de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en MySQL Smarty, que permitiría a un atacante remoto ejecutar consultas SQL arbitrarias y robar información confidencial en el sistema afectado. 

Los productos afectados son: 

• PrestaShop, versiones 1.6.0.10 al 1.7.8.1 

Se recomienda acceder a la actualización en el siguiente enlace proporcionado por el proveedor: 

• https://build.prestashop.com/news/prestashop-1-7-8-7-maintenance-release/  

Referencias: 

• https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/ 
• https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html 

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36408. 
• https://build.prestashop.com/news/prestashop-1-7-8-7-maintenance-release/