In Prestashop sono state rilevate tre vulnerabilità molto importanti: due di tipo SQL injection, una di gravità critica e l’altra di gravità elevata, e un’altra vulnerabilità di XSS injection di gravità elevata, che potrebbe consentire a qualsiasi utente con autorizzazioni di amministratore di scrivere, aggiornare o eliminare Database SQL indipendentemente dalle loro autorizzazioni.
Puoi vedere il comunicato qui.
Dettaglio:
La vulnerabilità di gravità critica è il filtro SQL e potrebbe consentire a un utente di scrivere, aggiornare ed eliminare nel database, anche senza disporre di autorizzazioni di amministratore specifiche.
Delle vulnerabilità ad alta gravità, una riguarda la lettura arbitraria dei file, che consente a un utente con accesso al gestore SQL di leggere arbitrariamente qualsiasi file nel sistema operativo con una funzione SELECT. Mentre l’altra vulnerabilità ad alta gravità consiste in una possibile XSS injection, che potrebbe facilitare il dirottamento di elementi HTML senza la necessità di interazione da parte dell’utente.
Soluzione:
Prestashop ha rilasciato una patch e raccomanda l’aggiornamento alle versioni 8.0.4 e 1.7.8.9.
https://build.prestashop-project.org/news/2023/prestashop-8-0-4-maintenance-release/
https://build.prestashop-project.org/news/2023/prestashop-1-7-8-9-maintenance-release/
L’unico modo attuale per applicare la patch è aggiornare la versione di Prestashop a quelle indicate.
Se hai un Prestashop 1.7.X devi aggiornare a 1.7.8.9
Se hai un Prestashop 8.X devi aggiornare alla 8.0.4
Prova Gratis Hosting Veloce, Ottimizzato, Sicuro
Passa a Bhoost con 30 giorni gratis e migrazione inclusa
Prova gratis 30 giorni