PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l’application immédiatement pour éliminer de graves vulnérabilités.

PrestaShop dit avoir appris pour la première fois que les pirates exploitaient une combinaison de vulnérabilités de sécurité connues et inconnues pour injecter du code malveillant dans les sites Web de PrestaShop, leur permettant d’exécuter des instructions arbitraires et potentiellement de voler les informations de paiement des clients. En enquêtant sur cette attaque, la société a découvert une chaîne de vulnérabilité jusqu’alors inconnue qui pourrait également être impliquée.

« Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL », indique l’avertissement. « Les versions 1.7.8.2 et supérieures ne sont pas vulnérables à moins qu’elles exécutent un module ou un code personnalisé qui inclut lui-même une vulnérabilité d’injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables. »

La dernière version de l’application, publiée lundi, traite d’une vulnérabilité dans la fonctionnalité de stockage du cache MySQL Smarty.

PrestaShop compte son plus grand nombre d’utilisateurs en Europe et en Amérique latine, mais il existe des boutiques en ligne au Canada et aux États-Unis.

Comme première défense, assurez-vous que votre boutique et tous les modules sont mis à jour vers leur dernière version, conseille PrestaShop.

Les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d’attaque, note également le rapport. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. PrestaShop 1.7.8.7  a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.

Les détails sur la façon de procéder se trouvent dans l’avis de PrestaShop. Il explique également comment les administrateurs peuvent savoir si leur site a été compromis.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.

Articles connexes

De nombreux produits TO sont « de conception non sécurisés »

Les chercheurs des laboratoires Vedere de Forescout ont voulu montrer à quel point de nombreux systèmes de technologie opérationnelle (TO) connectés à Internet peuvent être peu sûrs.

Correctif de sécurité pour les commutateurs Avaya et Aruba

Après la découverte de cinq vulnérabilités logicielles critiques, les administrateurs de réseau disposant de certains modèles de commutateurs Extreme Networks d’Avaya et HPE d’Aruba dans leur environnement sont invités à mettre à jour les appareils dès que possible.

Quatre des 15 principales vulnérabilités exploitées l’an dernier dataient de plus d’un an

Des vulnérabilités corrigées qui remontent à 2017 sont toujours exploitées par les cybercriminels, selon le dernier rapport des agences de cyberrenseignement au Canada et de ses alliés du Groupe des cinq.

Vulnérabilité dans le moteur de conteneur CRI-O pour Kubernetes

Les administrateurs Linux qui utilisent le moteur d'exécution de conteneur CRI-O pour Kubernetes dans leurs environnements sont invités à installer immédiatement le plus récent correctif pour cette vulnérabilité grave.

Ukraine : ESET découvre un quatrième logiciel effaceur

Un quatrième type de logiciel effaceur de données et une fausse mise à jour antivirus Windows utilisés contre des organisations de l’Ukraine ont été découverts par des chercheurs en sécurité informatique de la firme ESET.