Faille de PrestaShop

Les annonces officielles de FranceServ Hébergement.
Répondre
Avatar du membre
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7846
Enregistré le : 2 avril 2010 à 20:14

Bonjour,

L’équipe de développement de Prestashop a découvert une faille de sécurité sur leur solution permettant à des pirates d’accéder à des informations sensibles jusqu’à la récupération des accès d'administration. Ils ont publié cette information ce samedi 22 juillet : https://build.prestashop.com/news/major ... -websites/

La mise à jour de sécurité 1.7.87 ne semblerait pas corriger entièrement cette faille de sécurité selon les dires de développeurs Prestashop indépendants.

L’article du site https://www.mediacom87.fr/vulnerabilite ... restashop/ propose par exemple de supprimer les lignes 43 à 46 d’un fichier PHP utilisé par la faille. Mais comme me l’a proposé une connaissance, je trouve bien plus propre de modifier légèrement uniquement la première ligne sans rien supprimer, surtout que c’est une condition IF.

Bien que d’après mes journaux Web, cette faille de sécurité n’aurait pas été utilisée sur les Prestashop que j’héberge pour mes clients, en vérifiant certains Prestashop hébergé, certains pourraient être compromis dans le futur.

Pour éviter ça, j’ai créé un petit script qui m’a permis d’effectuer ce patch sur l’ensemble des PrestaShop pouvant être compromis par cette faille et qui sont installés à la racine.

Voilà le patch que j’ai apporté :

J’ai remplacé la ligne 43 du fichier config/smarty.config.inc.php :
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {

par celle-ci :
if (false && Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {

Le "false" permet ainsi d'invalider la condition.

Si vous avez des questions, n’hésitez pas à me contacter ou à vous mettre en lien avec la communauté Prestashop pour plus de précisions sur cette nouvelle faille.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre