Se han detectado tres vulnerabilidades en Prestashop que son muy importantes: dos de tipo inyección SQL, una de gravedad crítica y otra alta, y otra vulnerabilidad de inyección XSS de gravedad alta, que podrían permitir a cualquier usuario con permisos de administrador escribir, actualizar o eliminar bases de datos SQL independientemente de sus permisos.

Puedes ver el comunicado aquí.

Detalle:

La vulnerabilidad de gravedad crítica es de filtrado SQL y podría permitir a un usuario escribir, actualizar y eliminar en la base de datos, incluso sin tener permisos específicos de administrador.

Respecto a las vulnerabilidades de gravedad alta, una afecta a la lectura de archivos arbitrarios, lo cual hace posible que un usuario con acceso al administrador SQL pueda leer arbitrariamente cualquier archivo en el sistema operativo con una función SELECT. Mientras que la otra vulnerabilidad de gravedad alta, consiste en una posible inyección de XSS, que podría facilitar el secuestro de elementos HTML sin necesidad de interacción por parte del usuario.

Solución:

Prestashop ha publicado un parche y recomienda actualizar a las versiones de 8.0.4 y 1.7.8.9.

https://build.prestashop-project.org/news/2023/prestashop-8-0-4-maintenance-release/
https://build.prestashop-project.org/news/2023/prestashop-1-7-8-9-maintenance-release/

La única forma actual para aplicar el parche es actualizar la versión de Prestashop a las indicadas.

Si tenéis un Prestashop 1.7.X debéis actualizar a 1.7.8.9

Si tenéis un Prestashop 8.X debéis actualizar a 8.0.4

Andrea Saccà
Andrea Saccà
FOUNDER Bhoost Hosting

Sharing tips and insights on Bhoost and Page Speed Optimization