¿Tienes un PrestaShop? Te contamos todo sobre los últimos fallos de seguridad:
Este año no está siendo uno de los mejores años para el Ecommerce líder en el mercado Europeo “Prestashop” y es que recientemente a parte de los cambios y evoluciones a su nuevo entorno de optimización y seguridad con Sinfony, sus versiones se han visto afectadas en lo que va de año de dos fallos críticos en la seguridad.
Prestashop ha sido una de las plataformas más seguras en años anteriores y aun así con estos dos fallos de seguridad sigue siendo de las menos vulneradas , si que es cierto que ninguna plataforma está exenta de ser víctima de nuevos vectores.
La cifra de cantidad de Prestashop no es nada despreciable superando los 300.000 instalaciones en todo el mundo.
La vulnerabilidad ha sido reconocida con el código CVE 2023-39526, el fallo puede ocasionar que cualquier usuario sin privilegios dentro de la tienda poder realizar acciones en base de datos superiores al ROL asignado incluso llegando a eliminar tablas o base datos.
Si queréis más información de esta vulnerabilidad dejamos el enlace técnico, las versiones afectadas son 1.7.8.10, 8.0.5, y 8.1.1.
Referencia Técnica del Bug:
También se ha publicado otro fallo de seguridad esta misma semana de agosto concretamente el 07/08/2023 clasificado como CVE-2023-39529 que afecta a versiones de Prestashop 8.1.1 esto permitirá eliminar archivos del servidor un error nada menospreciable que permite caídas bruscas de la página web o pérdida información, en este punto y aun ya publicado parche oficial es recomendable tener siempre un plan de copias de seguridad activo , de forma semanal, mensual y anual permitiendo siempre tener al menos entre 9 puntos posibles de restauración por mes.
Referencia Técnica del Bug:
En este mismo día se ha publicado otro error para Prestashop 8.1.1 enumerado como CVE-2023-39530 , el fallo de seguridad descubierto permite el borrado de archivos a través de la API “Customer Message.”
Referencia Técnica del Bug:
Otro de los fallos de seguridad descubiertos es el CVE-2023-39528 en principio solo para la versión 8.1 clasificada como grave ya que permite acceso a directorios , a través de la funciona displayAjasEmailHTML. La explotación a través de Path Traversal permite acceso a todos los archivos del servidor.
Referencia Técnica del Bug:
Se ha descubierto otro fallo de Path traversal , que permita reemplazo o eliminación de archivos mediante la alteración durante la importación en el backoffice de prestashop, dicho fallo etiquetado como CVE-2023-39525 solo afectará a versiones 8.1.1 de prestashop.
Referencia Técnica del Bug:
El Siguiente fallo si afecta a versiones tanto 1.7 como versiones 8 de prestashop, también descubierto este agosto de 2023 y se ha visto afectada la función “isCleanHTML” permitiendo XSS Cross Site Scripting en principio es un fallo menos importante de los anteriores pero permitirá a un atacante falsificar o inyectar código en la tiendas Online, el fallo etiquetado como CVE-2023-39527.
Referencia Técnica del Bug:
Y por último descubierto solo para Prestashop 8 un fallo de seguridad de Inyección de SQL en la búsqueda de productos, se ha etiquetado como CVE-2023-39524.
Referencia Técnica del Bug:
Sin duda ha sido un Agosto negro para la seguridad de Prestashop en este 2023, aun así sigue siendo una gran apuesta para los Ecommerce y nuestros clientes de mantenimiento ya están actualizando sus sistemas tras comprobar que no se ven afectados otros entornos y funcionalidades.
Es cierto que aun que hemos probado y Prestashop 8 sigue siendo el futuro con sus grandes ventajas entre ellas el soporte nativo ya para Webp, la migración de Symfony y un Backoffice más adaptado al Responsive, a día de hoy y tras nuestras pruebas sigue siendo nuestra apuesta más estable quedarnos en la versión 1.7.9.10 mientras se sigue perfilando la que está siendo sin duda la versión más atacada Prestashop 8.1.
También puede interesarte:
La velocidad de una tienda online influye directamente en la experiencia del usuario, el posicionamiento SEO y la conversión. En PrestaShop, cuando una tienda crece y empieza a trabajar con muchas categorías, productos, combinaciones o módulos, es habitual que aumenten las consultas a la base de datos y que el…
Gestionar una tienda online en PrestaShop implica tomar decisiones constantemente, cambiar categorías, retirar productos, lanzar nuevas colecciones, modificar URLs, migrar desde otra plataforma, optimizar contenidos para SEO o reorganizar la arquitectura del ecommerce para que el usuario encuentre antes lo que busca. Todo eso está muy bien. Hasta que Google,…
Vamos a contaros el caso de una tienda online, que contacto con nuestro equipo de marketing digital, porque tiene un comportamiento claramente estacional, donde los meses de mayor actividad (de febrero a mayo) concentran buena parte de las ventas del año y necesitaban optimizar la web para estar bien posicionada…
Con la actual crisis, sabemos que muchos habéis optado por el lanzamiento de vuestra tienda online, y habéis apostado por Prestashop como la mejor opción para gestor CMS de vuestra tienda. En esta ocasión y con los recientes avisos por parte de Google, queremos informaros a todos los que…
El comercio online ya no es lo que solía ser. Ahora, no solo tienes que preocuparte de que tu tienda funcione bien, sino que también debes estar listo para que agentes de inteligencia artificial hagan el trabajo por ti. Esto es posible gracias a UCP (Universal Commerce Protocol), un protocolo…
El cumplimiento normativo ya no es algo que las empresas puedan dejar de lado en España. Desde la entrada en vigor de la Ley 2/2023 de protección de informantes, muchas organizaciones han tenido que adaptarse e implantar un canal de denuncias que permita comunicar irregularidades de forma segura y confidencial.…
Hubo un tiempo en el que mirar el posicionamiento en Google y mirar los clics era casi la misma película. Si subías posiciones, subían las visitas. Si entrabas en primera página, había premio. No era un sistema perfecto, pero al menos la lógica general se entendía. Ahora la cosa se…
Hay fichas de producto que parecen escritas para cumplir expediente. Y luego están las que venden.La diferencia no está en “poner más texto” ni en añadir tres iconos de envío gratis y cruzar los dedos. Está en algo mucho más complejo: entender por qué alguien compra y traducirlo en una…
Si vendes online a consumidor final, esta ley te afecta directamente. El Real Decreto Legislativo 1/2007, que aprueba la Ley General para la Defensa de los Consumidores y Usuarios, es la norma que regula las ventas B2C en España. No depende del sector, ni del tamaño de tu empresa, ni…