15/11/2024

Actu CybersécuritéWeb

Mettez à jour PrestaShop : cette faille critique donne un accès à la base de données !

Une nouvelle mise à jour de sécurité critique est disponible pour la plateforme de e-commerce PrestaShop. Si vous l'utilisez, vous devez installer la mise à jour dès que possible. Voici ce qu'il faut savoir.

Associée à la référence CVE-2023-30839, cette vulnérabilité critique hérite d'un score CVSS de 9.9 sur 10 ! En fait, à cause de cette vulnérabilité, n'importe quel utilisateur qui dispose d'un accès au back office du site peut effectuer n'importe quelle modification dans la base de données, peu importe les droits qui lui sont attribués initialement. Autant vous dire que les possibilités sont nombreuses à partir du moment où l'on peut lire, écrire et modifier dans la base de données.

Dans l'exemple d'un site de e-commerce basé sur PrestaShop, plusieurs personnes peuvent avoir accès au back office c'est-à-dire à l'interface d'administration, avec différents rôles : les administrateurs, les agents du service clientèle, les responsables du traitement des commandes, le personnel chargé d'ajouter des produits, etc... Ainsi, chaque utilisateur à des droits spécifiques sur le back office de PrestaShop en fonction de ses attributions.

À cause de cette faille de sécurité, le danger potentiel ne vient pas des clients de la boutique en ligne, mais plutôt des employés qui administre et exploite le site PrestaShop. Un employé malintentionné (et qui doit quand même avoir des connaissances bien sûr....) pourrait tirer profit de cette faille de sécurité. Autre cas possible, un employé qui se fait compromettre son compte d'accès au back office PrestaShop : le pirate peut exploiter cet accès pour prendre le contrôle de la boutique en ligne. C'est surtout ce second exemple qui justifie, à mon sens, le critère d'urgence quant à l'installation de ce correctif de sécurité.

Comment protéger sa boutique PrestaShop ?

L'éditeur de PrestaShop a corrigé cette faille de sécurité critique grâce à deux nouvelles mises à jour : 8.0.4 et 1.7.8.9. Il est conseillé de faire la mise à jour dès que possible, car elle affecte toutes les versions antérieures.

Cette mise à jour corrige aussi deux autres vulnérabilités : CVE-2023-30535 et CVE-2023-30838.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.