digitalit

Vulnérabilité majeure de sécurité sur les sites PrestaShop

By 12 août 2022 No Comments

Des hackers exploitent une combinaison de failles de sécurité connues et inconnues pour ajouter du code malveillant sur les sites PrestaShop. 

Risque de vol de données

Cette suite de vulnérabilités peut leur permettre de voler des données sur les sites ciblés. Les Prestashop étant des sites e-commerces, ce sont en particulier les informations de paiement des clients qui sont à risque.

Quels sont les PrestaShop concernés ?

L’attaque ne fonctionne qu’en cas de boutique vulnérable aux exploits d’injection SQL. Les hackers ciblent donc des boutiques aux modules obsolètes ou avec des modules tiers vulnérables.

Selon les données actuelles, ce problème ne concerne pas la dernière version de PrestaShop.

Voici les versions qui, à ce jour, semblent vulnérables :

  • 6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL.
  • 7.8.2 et supérieures, dans le cas où elles exécutent un module ou un code personnalisé avec une vulnérabilité d’injection SQL.
  • Les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist).

Sécuriser sa boutique

Cette chaîne de vulnérabilités, qui était jusqu’alors inconnue, est en cours de correction.

Il est donc important de prendre plusieurs mesures :

  • Vérifiez que votre boutique PrestaShop est à jour
  • Vérifiez que tous vos modules sont à jour
  • Selon les informations actuelles, la fonctionnalité de stockage en cache Smarty de MySQL peut être utilisée comme vecteur d’attaque. Cette fonctionnalité est désactivée par défaut, mais elle peut être activée à distance par le hacker. Nous vous conseillons donc de désactiver physiquement cette fonctionnalité dans le code de PrestaShop.

Désactiver la fonctionnalité Smarty

  1. Localisez le fichier config/smarty.config.inc.php

  2. Prestashop 1.7 : supprimez les lignes 43 à 46

    Prestashop 1.6 : supprimez les lignes 40 à 43

Ces attaques prouvent une fois encore l’importance d’effectuer régulièrement et rigoureusement les mises à jour de votre site web. On ne le rappellera jamais assez : un site non mis à jour est un site vulnérable.

De plus, une attaque coûte souvent bien plus cher qu’une maintenance annuelle chez un professionnel.

Contactez-nous

Nil Solioz

Deputy CTO chez e-novinfo

Votre nom *

Votre email*

Nouvelle réglementation RGPD * :

Votre message

Ticketing | Télémaintenance