Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l’application immédiatement pour éliminer de graves vulnérabilités.
PrestaShop dit avoir appris pour la première fois que les pirates exploitaient une combinaison de vulnérabilités de sécurité connues et inconnues pour injecter du code malveillant dans les sites Web de PrestaShop, leur permettant d’exécuter des instructions arbitraires et potentiellement de voler les informations de paiement des clients. En enquêtant sur cette attaque, la société a découvert une chaîne de vulnérabilité jusqu’alors inconnue qui pourrait également être impliquée.
« Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL », indique l’avertissement. « Les versions 1.7.8.2 et supérieures ne sont pas vulnérables à moins qu’elles exécutent un module ou un code personnalisé qui inclut lui-même une vulnérabilité d’injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables. »
La dernière version de l’application, publiée lundi, traite d’une vulnérabilité dans la fonctionnalité de stockage du cache MySQL Smarty.
PrestaShop compte son plus grand nombre d’utilisateurs en Europe et en Amérique latine, mais il existe des boutiques en ligne au Canada et aux États-Unis.
Comme première défense, assurez-vous que votre boutique et tous les modules sont mis à jour vers leur dernière version, conseille PrestaShop.
Les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d’attaque, note également le rapport. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. PrestaShop 1.7.8.7 a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code.
Les détails sur la façon de procéder se trouvent dans l’avis de PrestaShop. Il explique également comment les administrateurs peuvent savoir si leur site a été compromis.
Adaptation et traduction française par Renaud Larue-Langlois