Actualités

“PrestaShop 1.7.8.7 a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code” : mise à jour disponible ! (pour l’utilisateur, sans se presser mais sans tarder…)

Depuis le 22 Juillet 2022, l’éditeur de PrestaShop a mis en garde concernant une vulnérabilité qui permettait une injection de code arbitraire dans les sites Web exploitant PrestaShop (autant dire : des millions…). Dans une note actualisant le billet sécuritaire en question, il est grandement préconisé de mettre à jour vers la version la plus récente, soit, pour l’heure et sauf impondérables, la version 1.7.8.7 (et supérieure).

 

 

PrestaShop 1.7.8.7 a été publié pour renforcer le stockage du cache MySQL Smarty contre les attaques par injection de code. Un merci spécial à Dominik Shaim qui a d’abord contacté l’équipe de sécurité et a aidé à enquêter sur la vulnérabilité. Nous aimerions profiter de l’occasion pour souligner une fois de plus l’importance de maintenir votre système à jour pour prévenir de telles attaques. Cela signifie mettre à jour régulièrement à la fois votre logiciel PrestaShop et ses modules, ainsi que votre environnement serveur“, est-il indiqué, le 25 Juillet 2022.

La vulnérabilité se composait d’une cyber-attaque en deux étapes :

  • L’injection SQL : celle-ci concernait les versions 1.7.8.2 et inférieures (en notant que la note de blog préconise une mise à jour vers 1.7.8.7 et supérieure…) de PrestaShop et du module Wishlist (blockwishlist), des versions 2.0.0 à 2.1.0 incluses. Un code “personnalisé” (ou un module ainsi construit) était injecté par le cyber-attaquant en profitant, selon les recherches de l’éditeur, d’une extension non-mise à jour ou d’extensions tierces “vulnérables” ;
  • Evasion de l’injection (exploit, opérabilité) : une fois l’injection effectuée et quelques mauvais tours accomplit (dont l’usage de la requête GET pour, en finalité, concevoir un fichier blm.php pour permettre l’exécution de code arbitraire), il était possible de constituer un faux formulaire de paiement en ligne (depuis le site infecté, donc) pour duper la future victime, depuis le site officiel (ainsi vérolé), en saisissant, par exemple, des informations bancaires, du fait que les sites PrestaShop sont essentiellement des sites axés sur la vente ou le commerce à distance (e-boutique). Dans certains cas, après la tâche frauduleuse accomplie, les cyber-attaquants peuvent soigner leur sortie en effaçant leurs traces.

 

A l’époque du billet sécuritaire, des mesures de contournements étaient donnés, en attendant le correctif, survenu quelques jours après la publication de l’alerte : depuis le fichier config/smarty.config.inc.php : suppression de certaines lignes (43 à 46, pour la v1.7 de PS contre 40 à 43, pour la v1.7 de PS).

De plus, il était indiqué que le journal de log (serveur) permettait de savoir si infection de ce type il y avait eu lieu ; des exemples étaient donnés (avec un chemin d’exploration-fichier tronqué volontairement, par sécurité) en notant que si les traces ont été effacés par les cyber-attaquants, point de traces, alors, il n’y aura :

 

  • [14/Jul/2022:16:20:56 +0200] “POST /modules/XXX/XXX.php HTTP/1.1” 200 82772 “-” “Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_12_1) AppleWebKit/ 602.2.14 (KHTML, comme Gecko) Version/10.0.1 Safari/602.2.14” ;

 

  • [14/Jul/2022:16:20:57 +0200] “GET / HTTP/1.1” 200 63011 “-” “Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/54.0.2840.98 Safari/537.36” ;

 

  • [14/Jul/2022:16:20:58 +0200] “POST /blm.php HTTP/1.1” 200 82696 “-” “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox /50.0“.

 

 

Le patch étant disponible depuis, au moins, le 25 Juillet, il convient de bien vérifier, pour les administrateurs et / ou usager de PrestaShop, de vérifier que module et version du logiciel sont à jour… A veiller !

 

 

Source :




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0