In PrestaShop prima della versione 1.7.6.4, quando un cliente modifica il suo indirizzo, si può modificare liberamente l’id_address in forma, e quindi rubare l’indirizzo di qualcun altro. E ‘lo stesso con CustomerForm, si è in grado di cambiare l’id_customer e cambiare tutte le informazioni di tutti gli account. Il problema è patchato nella versione 1.7.6.4.
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mhfc-6rhg-fxp3
https://github.com/PrestaShop/PrestaShop/commit/a4a609b5064661f0b47ab5bc538e1a9cd3dd1069
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5250