Des acteurs malveillants exploitent une faille de sécurité jusque-là inconnue dans la plate-forme de commerce électronique open source PrestaShop pour injecter un code d’écumeur malveillant conçu pour balayer des informations sensibles. « Les attaquants ont trouvé un moyen d’utiliser une vulnérabilité de sécurité pour effectuer une exécution de code arbitraire sur des serveurs exécutant des sites Web PrestaShop », a noté la société dans un avis publié le 22 juillet. PrestaShop est commercialisé comme la première solution de commerce électronique open source en Europe et en Amérique latine, utilisée par près de 300 000 marchands en ligne dans le monde. Le but des infections est d’introduire un code malveillant capable de voler les informations de paiement saisies par les clients sur les pages de paiement. Les magasins utilisant des versions obsolètes du logiciel ou d’autres modules tiers vulnérables semblent être les principales cibles. Les responsables de PrestaShop ont également déclaré avoir trouvé une faille zero-day dans son service qui, selon eux, a été corrigée dans la version 1.7.8.7, bien qu’ils aient averti que « nous ne pouvons pas être sûrs que c’est le seul moyen pour eux d’effectuer l’attaque ». « Ce correctif de sécurité renforce le stockage du cache MySQL Smarty contre les attaques par injection de code », a noté PrestaShop. « Cette fonctionnalité héritée est maintenue pour des raisons de rétrocompatibilité et sera supprimée des futures versions de PrestaShop. » Le problème en question est une vulnérabilité d’injection SQL affectant les versions 1.6.0.10 ou supérieures, et est suivi comme CVE-2022-36408. L’exploitation réussie de la faille pourrait permettre à un attaquant de soumettre une demande spécialement conçue qui permet d’exécuter des instructions arbitraires, dans ce cas, d’injecter un faux formulaire de paiement sur la page de paiement pour recueillir les informations de carte de crédit. Le développement fait suite à une vague d’attaques Magecart ciblant les plateformes de commande de restaurants MenuDrive, Harbortouch et InTouchPOS, entraînant la compromission d’au moins 311 restaurants.