关键信息总结 漏洞概述 CVE编号: CVE-2023-45256 漏洞类型: SQL注入 受影响模块: Monetico Paiement module from EuroInformation for PrestaShop 严重性: 低 (CVSS v3.1: 3.7) 描述 该漏洞存在于Monetico Paiement模块中,由于SQL参数未正确中和,攻击者可以通过构造恶意HTTP请求来执行SQL注入攻击。具体来说,通过在 、 、 和 变量中插入恶意SQL代码,可以绕过身份验证并访问数据库。 CVSS基础指标 攻击向量: 网络 攻击复杂度: 高 用户交互: 无 作用范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 低 可能的恶意使用 访问敏感数据 绕过身份验证 执行任意SQL命令 补丁 补丁代码已提供,主要涉及对相关变量进行适当的输入验证和SQL查询构建的安全处理。 其他建议 升级模块到最新版本以修复此漏洞。 定期更新PrestaShop核心和所有模块以防止其他潜在漏洞。 使用安全的编码实践,如参数化查询,以防止SQL注入。 时间线 2023-05-17: 发现漏洞 2023-05-18: 向EuroInformation报告漏洞 2023-06-19: 发布修复后的版本1.7.1 2023-08-18: 发布CVE ID 2023-10-10: PrestaShop发布此漏洞公告