Une vulnérabilité sérieuse d’injection SQL ciblant les versions 1.6.0.10 ou supérieures ainsi que les versions 2.0.0 et 2.1.0 du module Wishlist (blockwishlist) vient d’être découverte.
Si votre site est un e-commerce utilisant le moteur PrestaShop, il est important de mettre à jour votre CMS.
Quels sont les risques ?
Elle permet le contrôle de votre boutique en ligne. Les attaquants injectent un faux formulaire de paiement sur la page de paiement du front-office. Vos clients risquent alors de saisir les informations de leur carte de crédit sur le faux formulaire et les envoyer sans le savoir aux attaquants.
Concrètement, que devez-vous faire ?
- Mettez à jour votre moteur PrestaShop vers la version 1.7.8.7 ainsi que l’ensemble de vos modules. PrestaShop 1.7.8.7 a récemment été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.
- Désactiver la fonctionnalité de possibilité de stockage du cache Smarty dans MySQL, dans le code source de PrestaShop, afin de mitiger la chaîne d’attaque jusqu’à ce qu’un correctif soit publié :
Pour ce faire, localisez le fichier config/smarty.config.inc.php sur votre installation PrestaShop, et supprimez les lignes 43-46 (PrestaShop 1.7) ou 40-43 (PrestaShop 1.6) :
if (Configuration::get(‘PS_SMARTY_CACHING_TYPE’) == ‘mysql’) {
include _PS_CLASS_DIR_.’Smarty/SmartyCacheResourceMysql.php’;
$smarty->caching_type = ‘mysql’;
}
Vous n’êtes pas en mesure d’effectuer cette mise à jour ?
Contactez le développeur de votre site, ou encore notre service développement qui pourra vous accompagner le cas échéant dans ces opérations.