¿Tienes un PrestaShop? Te contamos todo sobre los últimos fallos de seguridad:
Contenido
Este año no está siendo uno de los mejores años para el Ecommerce líder en el mercado Europeo “Prestashop” y es que recientemente a parte de los cambios y evoluciones a su nuevo entorno de optimización y seguridad con Sinfony, sus versiones se han visto afectadas en lo que va de año de dos fallos críticos en la seguridad.
Prestashop ha sido una de las plataformas más seguras en años anteriores y aun así con estos dos fallos de seguridad sigue siendo de las menos vulneradas , si que es cierto que ninguna plataforma está exenta de ser víctima de nuevos vectores.
La cifra de cantidad de Prestashop no es nada despreciable superando los 300.000 instalaciones en todo el mundo.
La vulnerabilidad ha sido reconocida con el código CVE 2023-39526, el fallo puede ocasionar que cualquier usuario sin privilegios dentro de la tienda poder realizar acciones en base de datos superiores al ROL asignado incluso llegando a eliminar tablas o base datos.
Si queréis más información de esta vulnerabilidad dejamos el enlace técnico, las versiones afectadas son 1.7.8.10, 8.0.5, y 8.1.1.
Referencia Técnica del Bug:
También se ha publicado otro fallo de seguridad esta misma semana de agosto concretamente el 07/08/2023 clasificado como CVE-2023-39529 que afecta a versiones de Prestashop 8.1.1 esto permitirá eliminar archivos del servidor un error nada menospreciable que permite caídas bruscas de la página web o pérdida información, en este punto y aun ya publicado parche oficial es recomendable tener siempre un plan de copias de seguridad activo , de forma semanal, mensual y anual permitiendo siempre tener al menos entre 9 puntos posibles de restauración por mes.
Referencia Técnica del Bug:
En este mismo día se ha publicado otro error para Prestashop 8.1.1 enumerado como CVE-2023-39530 , el fallo de seguridad descubierto permite el borrado de archivos a través de la API “Customer Message.”
Referencia Técnica del Bug:
Otro de los fallos de seguridad descubiertos es el CVE-2023-39528 en principio solo para la versión 8.1 clasificada como grave ya que permite acceso a directorios , a través de la funciona displayAjasEmailHTML. La explotación a través de Path Traversal permite acceso a todos los archivos del servidor.
Referencia Técnica del Bug:
Se ha descubierto otro fallo de Path traversal , que permita reemplazo o eliminación de archivos mediante la alteración durante la importación en el backoffice de prestashop, dicho fallo etiquetado como CVE-2023-39525 solo afectará a versiones 8.1.1 de prestashop.
Referencia Técnica del Bug:
El Siguiente fallo si afecta a versiones tanto 1.7 como versiones 8 de prestashop, también descubierto este agosto de 2023 y se ha visto afectada la función “isCleanHTML” permitiendo XSS Cross Site Scripting en principio es un fallo menos importante de los anteriores pero permitirá a un atacante falsificar o inyectar código en la tiendas Online, el fallo etiquetado como CVE-2023-39527.
Referencia Técnica del Bug:
Y por último descubierto solo para Prestashop 8 un fallo de seguridad de Inyección de SQL en la búsqueda de productos, se ha etiquetado como CVE-2023-39524.
Referencia Técnica del Bug:
Sin duda ha sido un Agosto negro para la seguridad de Prestashop en este 2023, aun así sigue siendo una gran apuesta para los Ecommerce y nuestros clientes de mantenimiento ya están actualizando sus sistemas tras comprobar que no se ven afectados otros entornos y funcionalidades.
Es cierto que aun que hemos probado y Prestashop 8 sigue siendo el futuro con sus grandes ventajas entre ellas el soporte nativo ya para Webp, la migración de Symfony y un Backoffice más adaptado al Responsive, a día de hoy y tras nuestras pruebas sigue siendo nuestra apuesta más estable quedarnos en la versión 1.7.9.10 mientras se sigue perfilando la que está siendo sin duda la versión más atacada Prestashop 8.1.
También puede interesarte: