Publié le 27/07/2022 par Laurent Allegre

L'équipe PrestaShop a identifié des vulnérabilités majeures affectant toutes les versions de PrestaShop depuis la version 1.7.5. De nombreux sites Web sont vulnérables aux attaques par injection SQL et peuvent gravement affecter les détails de la carte bancaire d'un client. Voici ce que nous savons de cette vulnérabilité majeure, qui semble avoir été découverte vers le 14 juillet 2022.

faille-prestashop

Quelle est cette faille ?

Cette vulnérabilité pourrait affecter les boutiques en ligne qui n'ont pas appliqué les dernières mises à jour logicielles recommandées. Le 19 juillet 2022 à 14h00, plusieurs membres de PrestaShop ont notifié aux employés de PrestaShop un incident de sécurité. Quelques heures plus tard, l'équipe technique de PrestaShop confirmait qu'un code malveillant (le "payload") avait été inséré dans plusieurs boutiques e-commerce par des tiers malveillants. A 22 heures ce même jour, l'équipe technique de PrestaShop a pu comprendre et reproduire l'attaque, révélant l'existence d'une vulnérabilité qui pourrait permettre à un tiers malveillant d'injecter du code malveillant dans un script de boutique en ligne confirmé.

Cette insertion de code malveillant peut permettre à ces tiers de contrôler le site en question, mais elle n'effectue pas d'"injection SQL" et des dernières mises à jour logicielles recommandées par la société PrestaShop. Le matin du 20 juillet 2022, les membres de l'équipe de gestion de crise ont réalisé un rapport expliquant la cyberattaque, ses causes et conséquences identifiées, ainsi que les solutions et mesures de communication à prendre.

Versions les plus vulnérables

« À notre connaissance, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d'injection SQL », affirme Prestashop. Par conséquent, cela confirme que toutes les versions ne sont pas vulnérables, uniquement les version antérieur à la version 1.7.8.2. La boutique fait face à une vulnérabilité d'injection SQL (Structured Query Language). Il s'agit d'une attaque généralisée consistant en des requêtes envoyées à la base de données pour qu'un attaquant injecte son propre code afin de contourner la sécurité et de protéger l'accès aux données sensibles. En général, les sites Web qui n'implémentent pas une protection suffisante contre le nettoyage des entrées sont plus vulnérables à ce type d'attaque.

Comment corriger la faille ?

Mise à jour de Prestashop

Cette solution est adaptée car vous pouvez profiter de toutes les améliorations de la dernière version de PrestaShop, mais c'est aussi un processus long, coûteux et dangereux car PrestaShop n'est pas mis à jour facilement et nécessite plus d'attention qu'autre chose. Ces modifications sont susceptibles de bloquer les modèles personnalisés qui doivent être mis à jour.

Application d’un patch

Vous pouvez appliquer des correctifs « patch » pour corriger la version de PrestaShop sans une mise à jour complète. Cette solution est la solution la plus rapide pour protéger votre installation sans risquer votre entreprise et sans mises à jour majeures.

Quel que soit votre choix ou votre besoin, n'hésitez pas à prendre contact avec l’agence Greenweb afin de sécuriser votre site et surmonter cette faille.
Revenir à la liste des articles

Sur le même thème:

maintenance-prestashop-site

Bayard, expert du vêtement masculin

L'équipe PrestaShop a identifié des vulnérabilités majeures affectant toutes...
arianeplast

Arianeplast et l’agence Green web

L'équipe PrestaShop a identifié des vulnérabilités majeures affectant toutes...
bayard

Un tout nouveau site internet pour l'enseigne Bayard

L'équipe PrestaShop a identifié des vulnérabilités majeures affectant toutes...