e-novinfo it & cloud
Vulnérabilité majeure de sécurité sur les
sites PrestaShop
Des hackers exploitent une combinaison de failles de sécurité connues et inconnues pour ajouter du code malveillant sur les sites PrestaShop.
Risque de vol de données
Cette suite de vulnérabilités peut leur permettre de voler des données sur les sites ciblés. Les Prestashop étant des sites e-commerces, ce sont en particulier les informations de paiement des clients qui sont à risque.
Quels sont les PrestaShop concernés ?
L’attaque ne fonctionne qu’en cas de boutique vulnérable aux exploits d’injection SQL. Les hackers ciblent donc des boutiques aux modules obsolètes ou avec des modules tiers vulnérables.
Selon les données actuelles, ce problème ne concerne pas la dernière version de PrestaShop.
Voici les versions qui, à ce jour, semblent vulnérables :
- 6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL.
- 7.8.2 et supérieures, dans le cas où elles exécutent un module ou un code personnalisé avec une vulnérabilité d’injection SQL.
- Les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist).
Sécuriser sa boutique
Cette chaîne de vulnérabilités, qui était jusqu’alors inconnue, est en cours de correction.
Il est donc important de prendre plusieurs mesures :
- Vérifiez que votre boutique PrestaShop est à jour
- Vérifiez que tous vos modules sont à jour
- Selon les informations actuelles, la fonctionnalité de stockage en cache Smarty de MySQL peut être utilisée comme vecteur d’attaque. Cette fonctionnalité est désactivée par défaut, mais elle peut être activée à distance par le hacker. Nous vous conseillons donc de désactiver physiquement cette fonctionnalité dans le code de PrestaShop.
