ActualitésCommerce en ligneCybersécuritéNouvelles

PrestaShop exhorte les administrateurs à mettre à jour l’application

Par Howard Solomon
Image : GettyImages

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l’application immédiatement pour éliminer de graves vulnérabilités.

PrestaShop dit avoir appris pour la première fois que les pirates exploitaient une combinaison de vulnérabilités de sécurité connues et inconnues pour injecter du code malveillant dans les sites Web de PrestaShop, leur permettant d’exécuter des instructions arbitraires et potentiellement de voler les informations de paiement des clients. En enquêtant sur cette attaque, la société a découvert une chaîne de vulnérabilité jusqu’alors inconnue qui pourrait également être impliquée.

« Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL », indique l’avertissement. « Les versions 1.7.8.2 et supérieures ne sont pas vulnérables à moins qu’elles exécutent un module ou un code personnalisé qui inclut lui-même une vulnérabilité d’injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables. »

La dernière version de l’application, publiée lundi, traite d’une vulnérabilité dans la fonctionnalité de stockage du cache MySQL Smarty.

PrestaShop compte son plus grand nombre d’utilisateurs en Europe et en Amérique latine, mais il existe des boutiques en ligne au Canada et aux États-Unis.

Comme première défense, assurez-vous que votre boutique et tous les modules sont mis à jour vers leur dernière version, conseille PrestaShop.

Les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d’attaque, note également le rapport. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. PrestaShop 1.7.8.7  a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.

Les détails sur la façon de procéder se trouvent dans l’avis de PrestaShop. Il explique également comment les administrateurs peuvent savoir si leur site a été compromis.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.
Plus d'articles de Howard Solomon

Articles connexes

Actualités

Microsoft parsème l’IA sur Windows dans la dernière mise à jour

Microsoft a publié l'une des plus importantes mises à jour de Windows 11, la version 22H2, qui inclut l'accès à son assistant numérique alimenté par l'IA, Copilot et une série de nouvelles mises à niveau basées sur l'IA pour des applications classiques telles que Paint, Outil capture d’écran et Photos.
Actualités

Corrigez ces vulnérabilités dans des produits VMware et Cisco

Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d'installer des correctifs dès que possible pour corriger des vulnérabilités graves.
Actualités

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.
Actualités

Les responsables de la protection de la vie privée exhortent les sites Web à bloquer le moissonnage de données

Les commissaires à la protection de la vie privée et à l'information de 12 pays, dont le Canada, le Royaume-Uni, la Chine et l'Australie, ont exhorté les sociétés de médias sociaux à faire davantage pour empêcher les acteurs de la menace de récupérer les données personnelles de leurs systèmes informatiques.
Actualités

Les développeurs d’applications QuickBlox sont invités à mettre à jour la plate-forme pour combler de sérieuses vulnérabilités

Les développeurs d'applications utilisant le kit de développement de logiciel QuickBlox et l'interface de programmation d'applications pour les applications de clavardage et de vidéo sont invités à mettre à jour le cadre dès que possible pour éliminer des vulnérabilités graves.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.

OBTENEZ LES NOUVELLES ET LES PERSPECTIVES QUI COMPTENT POUR VOUS

Nos journalistes et rédacteurs chevronnés vous offrent un contenu varié et pertinent conçu spécialement pour les professionnels et les cadres des TI.

Abbonement

La seule source d’information en gestion des TI au Québec

Nouvelles

Catégories Populaire

Réseau ITWC

Autre

© 2022 Direction Informatique - ITWC