文件

hao 5beac32c48 更新: 319 个文件 - 2026-03-31 03:06:10

2026-03-31 03:06:11 -07:00

8.0 KiB

原始文件 Blame 文件历史

title, system_id, category, advisory_mode, published_date, updated_date, severity, exploit_status, source_confidence, verification_status, verification_mode, artifact_mode, last_run_id, target_types, allow_public_validation, authorization_prerequisite, minimal_validation, aliases, affected_versions, fixed_versions, entity_refs, secure_code_topics, primary_source

title

system_id

category

advisory_mode

published_date

updated_date

severity

exploit_status

source_confidence

verification_status

verification_mode

artifact_mode

last_run_id

target_types

allow_public_validation

authorization_prerequisite

minimal_validation

aliases

affected_versions

fixed_versions

entity_refs

secure_code_topics

primary_source

PrestaShop: Improper Use of Validation Framework

prestashop

ecommerce

core

2026-03-25T19:40:42Z

2026-03-30T12:26:06.049752Z

low

unknown

ecosystem-authority

triage-manual

synthetic

official-image

lab-local

lab-public

authorized-third-party

yes, with ownership or explicit authorization

asset ownership proof or explicit written authorization

read-only probe, controlled payload, reversible test

BIT-prestashop-2026-33674

CVE-2026-33674

GHSA-283w-xf3q-788v

1.7.0.0
1.7.0.0-beta.1.0
1.7.0.0-beta.2.0
1.7.0.0-beta.3.0
1.7.0.0-beta.4.0
1.7.0.0-rc.0.0
1.7.0.0-rc.1.0
1.7.0.0-rc.2.0
1.7.0.1
1.7.0.2
1.7.0.3
1.7.0.4
1.7.0.5
1.7.0.6
1.7.1.0
1.7.1.1
1.7.1.2
1.7.2.0
1.7.2.0-rc.1.0
1.7.2.1

8.2.5

9.1.0

prestashop:system:root-system

prestashop--package--prestashop-prestashop:package:affected-component

plugin-extension-trust-policy

authz-server-side-recheck

file-upload-validation

https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-283w-xf3q-788v

PrestaShop: Improper Use of Validation Framework

本地实证状态

实证状态: triage-manual
实证方式: synthetic
Artifact 模式: official-image
最近运行: -
浏览器证据: missing
Run Bundle: -

事件层

Canonical ID: prestashop--CVE-2026-33674
系统: prestashop
严重度: low
来源置信度: ecosystem-authority
官方主源: https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-283w-xf3q-788v
影响版本: 1.7.0.0, 1.7.0.0-beta.1.0, 1.7.0.0-beta.2.0, 1.7.0.0-beta.3.0, 1.7.0.0-beta.4.0, 1.7.0.0-rc.0.0, 1.7.0.0-rc.1.0, 1.7.0.0-rc.2.0, 1.7.0.1, 1.7.0.2
修复版本: 8.2.5, 9.1.0

对象与版本映射

Advisory Scope: package
影响对象: prestashop / prestashop
Entity Refs: prestashop, prestashop--package--prestashop-prestashop
版本置信度: high
版本缺口: -
版本证据源: https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-283w-xf3q-788v, https://nvd.nist.gov/vuln/detail/CVE-2026-33674, https://github.com/PrestaShop/PrestaShop, https://github.com/PrestaShop/PrestaShop/releases/tag/8.2.5, https://github.com/PrestaShop/PrestaShop/releases/tag/9.1.0

受控验证流程

Workflow ID: prestashop--CVE-2026-33674--workflow
漏洞家族: unknown
入口面: package-surface
需要角色: unknown
触发向量: 对 unknown 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
请求/页面入口: /package
输入形态: 提交最小化、可审计、可回滚的受控输入。
预期不安全行为: 目标表现出超出设计边界的行为。

其他来源

证据点与补丁验证

服务端证据点

应用日志中的命中路径、鉴权决策和异常栈
反向代理或边界层日志中的请求头、来源 IP 与路由决策

浏览器证据点

基线截图与攻击后截图的 DOM/视觉差异
console、network 与 response metadata 中的异常信号

数据库/文件系统证据点

数据库中新增/越权读取的测试数据
文件系统中新增上传样本、缓存条目或越权读取痕迹

检测信号

WAF / reverse proxy 异常日志、访问日志和告警
应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件

补丁验证步骤

确认目标版本从 1.7.0.0, 1.7.0.0-beta.1.0, 1.7.0.0-beta.2.0 升级或回移到 8.2.5。
保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
补充 unknown 族自动化回归，避免同类路径在插件、主题或代理链中回归。

实验安全备注

只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。

实验层

仅用于自有资产、测试环境或已明确授权目标。
允许公网可达目标，但必须满足资产归属或明确授权前提。
最小化验证方式: 最小化验证、只读探测、可审计回显、受控注入。
若该案例涉及插件、模块或扩展，应同时检查供应链与升级策略。
禁止场景: 无归属证明或无明确授权的公网目标；知名公共网站或与测试无关的第三方资产；会造成持久破坏、数据越权下载或不可回滚影响的动作

8.0 KiB 原始文件 Blame 文件历史

PrestaShop: Improper Use of Validation Framework

本地实证状态

事件层

对象与版本映射

受控验证流程

其他来源

证据点与补丁验证

服务端证据点

浏览器证据点

数据库/文件系统证据点

检测信号

补丁验证步骤

实验安全备注

实验层

修复示例

8.0 KiB

原始文件 Blame 文件历史