Er is een kritieke PHAR deserialisatie kwetsbaarheid ontdekt in de component /themes/import van PrestaShop versie 8.2.0. Deze kwetsbaarheid, bekend onder CVE-2025-25691, stelt aanvallers in staat om willekeurige code uit te voeren via een speciaal vervaardigd POST-verzoek. Dit vormt een aanzienlijk risico voor de integriteit van uw webshop.
Een aanvaller kan zonder uw weten toegang krijgen tot gevoelige delen van uw webwinkel, met potentieel dataverlies en integriteitsschade van uw systeem als gevolg.
Overzicht
- Type kwetsbaarheid: PHAR deserialisatie
- CWE-502: Deserialization of Untrusted Data
- CWE-77: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
- CVSS Score: 6.5 / Medium
Bronnen
Vraag en Antwoord
Wat is CVE-2025-25691?
Deze kwetsbaarheid betreft een deserialisatie probleem waarbij PHAR-objecten onveilig worden verwerkt. Hierdoor kan een aanvaller ongewenste code binnen uw PrestaShop-omgeving uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-25691?
Systemen die PrestaShop versie 8.2.0 draaien en gebruikmaken van de thema-importfunctionaliteit zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is het aanbevolen om regelmatig de officiële PrestaShop bronnen te raadplegen voor eventuele updates of patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel toegang krijgen tot uw volledige webshopomgeving en mogelijk gevoelige klantgegevens bemachtigen.
