PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l’application immédiatement pour éliminer de graves vulnérabilités.

PrestaShop dit avoir appris pour la première fois que les pirates exploitaient une combinaison de vulnérabilités de sécurité connues et inconnues pour injecter du code malveillant dans les sites Web de PrestaShop, leur permettant d’exécuter des instructions arbitraires et potentiellement de voler les informations de paiement des clients. En enquêtant sur cette attaque, la société a découvert une chaîne de vulnérabilité jusqu’alors inconnue qui pourrait également être impliquée.

« Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL », indique l’avertissement. « Les versions 1.7.8.2 et supérieures ne sont pas vulnérables à moins qu’elles exécutent un module ou un code personnalisé qui inclut lui-même une vulnérabilité d’injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables. »

La dernière version de l’application, publiée lundi, traite d’une vulnérabilité dans la fonctionnalité de stockage du cache MySQL Smarty.

PrestaShop compte son plus grand nombre d’utilisateurs en Europe et en Amérique latine, mais il existe des boutiques en ligne au Canada et aux États-Unis.

Comme première défense, assurez-vous que votre boutique et tous les modules sont mis à jour vers leur dernière version, conseille PrestaShop.

Les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d’attaque, note également le rapport. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. PrestaShop 1.7.8.7  a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.

Les détails sur la façon de procéder se trouvent dans l’avis de PrestaShop. Il explique également comment les administrateurs peuvent savoir si leur site a été compromis.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

La prise en charge de Microsoft Exchange Server 2013 prendra fin en avril

Microsoft rappelle aux clients qu'Exchange Server 2013 atteindra sa fin de support le 11 avril. Après cette date, il n'y aura plus de correctifs, d'améliorations, de mises à jour de fuseau horaire ou de mises à jour de sécurité, et aucun soutien technique ne sera offert.

La plate-forme développement et exploitation CircleCI exhorte les utilisateurs à faire la rotation des codes secrets

Les développeurs d'applications utilisant la plate-forme d'intégration continue CircleCI sont invités à faire la rotation de tous les codes secrets – y compris les mots de passe, les clés d’API et les certificats numériques – stockés dans le système, après la découverte d'un incident de sécurité non spécifié.

La NSA exhorte les développeurs à passer à des langages à mémoire sécurisée

Les développeurs d'applications peuvent réduire les chances que leur code comporte des vulnérabilités de mémoire en passant à un langage moderne, déclare la National Security Agency (NSA) des États-Unis.

Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d'applications et les administrateurs système devraient prêter attention.

De nombreux produits TO sont « de conception non sécurisés »

Les chercheurs des laboratoires Vedere de Forescout ont voulu montrer à quel point de nombreux systèmes de technologie opérationnelle (TO) connectés à Internet peuvent être peu sûrs.