Vulnerabilidades de seguridad detectadas en el módulo PrestaShop "gsnippetsreviews"

A comienzos de enero de 2026, nuestro equipo de seguridad web de digitalDot identificó dos vulnerabilidades relevantes en el módulo gsnippetsreviews para PrestaShop, un módulo verificado y ampliamente utilizado en tiendas online basadas en esta plataforma.

La detección se produjo a raíz de una incidencia real en un cliente nuestro, lo que permitió analizar el problema en un entorno de producción, con tráfico y configuraciones reales.

Las vulnerabilidades afectaban al sistema de valoraciones de productos mediante enlaces enviados por correo electrónico, comprometiendo la integridad de las opiniones y, en determinados escenarios, la seguridad de las cuentas de cliente.

El desarrollador del módulo fue informado, corrigió los problemas detectados y autorizó expresamente la publicación de este caso con fines informativos y de concienciación.

Incidente de valoraciones fraudulentas en una tienda PrestaShop

El 7 de enero de 2026, uno de nuestros clientes nos alertó tras detectar la creación de miles de valoraciones falsas en su tienda online en un intervalo de tiempo muy reducido.

En ese momento, la tienda:

• Utilizaba la última versión disponible del módulo (v5.2.1).
• Tenía activada la restricción que limita las valoraciones a clientes con compras previas.
• No presentaba indicios de accesos no autorizados al back-office.

Este escenario descartaba un uso legítimo de la funcionalidad y apuntaba a un fallo de seguridad a nivel de módulo, lo que dio inicio al análisis técnico en profundidad.

Fallo de control de acceso en el sistema de valoraciones por correo electrónico

El primer problema identificado correspondía a una vulnerabilidad de tipo Missing Function-Level Access Control, también conocida como Broken Function-Level Authorization.

El módulo permitía crear valoraciones desde tres puntos distintos:

• El área privada del cliente.

• La página del producto.

• Un enlace enviado por correo electrónico tras la compra.

Mientras que los dos primeros flujos estaban correctamente protegidos mediante autenticación y validaciones de compra, el tercero presentaba un problema crítico: el token incluido en el enlace de valoración no se validaba correctamente en el servidor.

Como consecuencia, un atacante podía enviar peticiones directamente al endpoint encargado de crear valoraciones, sin necesidad de estar autenticado y sin que se comprobara correctamente la relación entre cliente, pedido y producto.

Este fallo permitía la creación masiva de valoraciones fraudulentas, afectando directamente a la fiabilidad del sistema de opiniones y a la reputación comercial de la tienda.

Uso indebido de tokens con privilegios excesivos

Al corregir el problema anterior, se introdujo una segunda vulnerabilidad, de impacto aún mayor.

El token utilizado para autorizar la acción de valorar un producto pasó a emplearse como mecanismo implícito de autenticación de clientes. En la práctica, acceder al enlace correcto desde un correo electrónico podía provocar un inicio de sesión automático en la cuenta del cliente, sin introducir credenciales.

Este enfoque generaba varios riesgos:

• El token no tenía caducidad.
• Se generaba a partir de valores parcialmente predecibles.
• Su alcance excedía claramente el propósito original de permitir una simple valoración.

Este tipo de vulnerabilidad, clasificada como Overprivileged Authentication Token, podía derivar en el compromiso total de cuentas de cliente, especialmente en escenarios donde el correo de valoración fuera reenviado o interceptado.

Impacto potencial en la seguridad de tiendas y clientes

Aunque el incidente inicial se manifestó a través de valoraciones fraudulentas, el impacto potencial iba mucho más allá.

• Entre los riesgos identificados se encontraban:
• Manipulación de la reputación de productos.
• Acceso no autorizado a cuentas de cliente.
• Exposición de datos personales.
• Modificación de pedidos, direcciones o credenciales.
• Pérdida de confianza por parte de los usuarios finales.

Este caso pone de relieve que una vulnerabilidad en un módulo puede comprometer la seguridad global de la tienda, incluso cuando el core de PrestaShop está correctamente actualizado.

Correcciones aplicadas y versión segura del módulo

Tras el análisis y la comunicación con el desarrollador, se publicaron varias actualizaciones hasta alcanzar una solución definitiva.

La versión 5.2.4 del módulo, disponible desde el 20 de enero de 2026, elimina el uso del token como mecanismo de autenticación y limita su función exclusivamente a la validación de la acción de valorar un producto.

Esta versión corrige:

• El fallo de control de acceso en el endpoint de valoraciones por correo electrónico.
• El riesgo de inicio de sesión automático de clientes mediante tokens.

Desde un punto de vista de seguridad, esta solución respeta el principio de mínimo privilegio, fundamental en cualquier desarrollo seguro.

Recomendaciones de seguridad para tiendas PrestaShop

A raíz de este caso, recomendamos a cualquier comercio que utilice módulos de terceros:

• Mantener módulos y plantillas siempre actualizados.
• Revisar funcionalidades que dependan de enlaces con tokens enviados por correo electrónico.
• Evitar el uso de tokens como mecanismos de autenticación.
• Auditar periódicamente flujos críticos relacionados con cuentas de cliente.
• Contar con revisiones de seguridad externas, especialmente en tiendas con alto volumen de tráfico.

En digitalDot desarrollamos nuestros propios módulos para PrestaShop, además de ofrecer servicios de desarrollo web a medida, mantenimiento, auditorías de seguridad y marketing digital. Si tienes dudas sobre la seguridad de tu tienda online, el uso de módulos de terceros o necesitas asesoramiento técnico especializado, puedes contactar con nuestro equipo para analizar tu caso y ayudarte a mejorar la seguridad y el rendimiento de tu proyecto digital.

Preguntas frecuentes sobre la seguridad en módulos PrestaShop