PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l’application immédiatement pour éliminer de graves vulnérabilités.

PrestaShop dit avoir appris pour la première fois que les pirates exploitaient une combinaison de vulnérabilités de sécurité connues et inconnues pour injecter du code malveillant dans les sites Web de PrestaShop, leur permettant d’exécuter des instructions arbitraires et potentiellement de voler les informations de paiement des clients. En enquêtant sur cette attaque, la société a découvert une chaîne de vulnérabilité jusqu’alors inconnue qui pourrait également être impliquée.

« Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL », indique l’avertissement. « Les versions 1.7.8.2 et supérieures ne sont pas vulnérables à moins qu’elles exécutent un module ou un code personnalisé qui inclut lui-même une vulnérabilité d’injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables. »

La dernière version de l’application, publiée lundi, traite d’une vulnérabilité dans la fonctionnalité de stockage du cache MySQL Smarty.

PrestaShop compte son plus grand nombre d’utilisateurs en Europe et en Amérique latine, mais il existe des boutiques en ligne au Canada et aux États-Unis.

Comme première défense, assurez-vous que votre boutique et tous les modules sont mis à jour vers leur dernière version, conseille PrestaShop.

Les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d’attaque, note également le rapport. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. PrestaShop 1.7.8.7  a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.

Les détails sur la façon de procéder se trouvent dans l’avis de PrestaShop. Il explique également comment les administrateurs peuvent savoir si leur site a été compromis.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Microsoft parsème l’IA sur Windows dans la dernière mise à jour

Microsoft a publié l'une des plus importantes mises à jour de Windows 11, la version 22H2, qui inclut l'accès à son assistant numérique alimenté par l'IA, Copilot et une série de nouvelles mises à niveau basées sur l'IA pour des applications classiques telles que Paint, Outil capture d’écran et Photos.

Corrigez ces vulnérabilités dans des produits VMware et Cisco

Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d'installer des correctifs dès que possible pour corriger des vulnérabilités graves.

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.

Les responsables de la protection de la vie privée exhortent les sites Web à bloquer le moissonnage de données

Les commissaires à la protection de la vie privée et à l'information de 12 pays, dont le Canada, le Royaume-Uni, la Chine et l'Australie, ont exhorté les sociétés de médias sociaux à faire davantage pour empêcher les acteurs de la menace de récupérer les données personnelles de leurs systèmes informatiques.

Les développeurs d’applications QuickBlox sont invités à mettre à jour la plate-forme pour combler de sérieuses vulnérabilités

Les développeurs d'applications utilisant le kit de développement de logiciel QuickBlox et l'interface de programmation d'applications pour les applications de clavardage et de vidéo sont invités à mettre à jour le cadre dès que possible pour éliminer des vulnérabilités graves.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.