La plate-forme de commerce électronique open source PrestaShop a publié une nouvelle version qui corrige une vulnérabilité de gravité critique permettant à tout utilisateur du back-office d’écrire, de mettre à jour ou de supprimer des bases de données SQL, quelles que soient leurs autorisations.
Les utilisateurs du back-office sont ceux qui ont accès à l’interface administrative du site Web, y compris le propriétaire, les administrateurs, les représentants commerciaux, les agents du service clientèle, les processeurs de commandes, le personnel de saisie des données et autres.
Les autorisations de chaque utilisateur sont définies de manière à ce qu’ils ne soient autorisés à accéder qu’aux informations et fonctionnalités nécessaires à leur rôle, ce qui est une fonctionnalité de sécurité cruciale de PrestaShop.
Suivi sous le numéro CVE-2023-30839, le critique (score CVSS v3.1 : 9,9) permet à tout utilisateur, quelles que soient ses autorisations, d’effectuer des modifications non autorisées sur la base de données de la boutique en ligne, ce qui pourrait causer des dommages importants ou une interruption de service aux entreprises concernées.
La faille, qui n’a aucune atténuation, impacte toutes les installations de PrestaShop à partir de la version 8.0.3 et antérieure.
Bien que la nécessité d’avoir un compte utilisateur sur le site vulnérable atténue quelque peu la vulnérabilité, étant donné que les boutiques en ligne emploient souvent de grandes équipes pour traiter les commandes, la faille introduit un risque de permettre à des employés voyous ou mécontents de causer des dommages.
De plus, cela ouvre une plus grande surface d’attaque pour les pirates, qui peuvent désormais compromettre n’importe quel compte d’utilisateur sur les sites de commerce électronique basés sur PrestaShop et potentiellement injecter du code malveillant et des portes dérobées ou accéder à la base de données SQL.
Les injections de porte dérobée via les bases de données de sites Web sont une tactique d’attaque furtive que Sucuri a récemment signalé gagner du terrain dans la nature, ciblant principalement les sites WordPress.
L’éditeur de logiciels l’a résolu avec la sortie des versions 8.0.4 et 1.7.8.9, publiées hier, vers lesquelles tous les propriétaires de sites Web PrestaShop sont invités à mettre à niveau dès que possible.
La plateforme de commerce électronique open source a également corrigé deux autres vulnérabilités dans sa dernière version, à savoir CVE-2023-30535 (CVSS v3.1 : 7.7, « élevé ») et CVE-2023-30838 (CVSS v3.1 : 8.0 , « haut »).
Le premier est un problème de lecture de fichier arbitraire permettant à des utilisateurs non autorisés d’accéder à des informations critiques. Le second est un problème d’injection XSS qui peut détourner chaque élément HTML du site et se déclenche sans interaction.
Il est crucial d’appliquer les mises à jour de sécurité disponibles dès que possible car les pirates sont toujours à la recherche de vulnérabilités dans les grandes plateformes comme PrestaShop.
En juillet 2022, le fournisseur de solutions de commerce électronique a averti de toute urgence ses utilisateurs que des pirates ciblaient la plate-forme en exploitant une vulnérabilité zero-day pour effectuer des injections SQL sur des sites basés sur PrestaShop.