Importante vulnérabilité PrestaShop 1.7 : Corruption des données clients et vols de données possible

Publié le , par Xavier Bonnaud

Faille sécurité PrestaShop 1.7

La semaine dernière, PrestaShop a annoncé la mise à disposition de la version 1.7.6.4 mettant en lumière un certain nombre de correctifs.
Cette version a en effet permis de corriger 9 soucis remontés sur les versions 1.7.6.0 à 1.7.6.3.
Cependant, une vulnérabilité importante sur les versions antérieures à PrestaShop 1.7.6.4 a été rendue publique à travers cette mise à jour.

 

Qu’elle est cette nouvelle faille de sécurité sur PrestaShop 1.7 ?

Cela concerne la partie formulaire des comptes clients et leurs adresses.
Cette faille permet à un compte client mal intentionné de pouvoir modifier l’identifiant (ID) de son adresse. Il peut ainsi remplacer l’adresse d’autres utilisateurs par ses propres informations.

Cette faille étant tout récemment découverte, la communauté PrestaShop n’est pas forcément à même de préciser clairement les conséquences potentielles et si cette faille a été exploitée.
À minima, les données clients pourraient être corrompues de façon massive pour par exemple supprimer toutes les adresses des utilisateurs légitimes du site. Il se peut également que cette vulnérabilité soit exploité pour rediriger des commandes à une autre adresse.

Quoi qu’il en soit, la faille remet en cause l’application des réglementations RGDP et votre intégrité en tant que e-commerçant.
Nous vous recommandons vivement de réagir avec un correctif dès que possible et à lire les informations ci-dessous afin de vous guider dans cette démarche.

 

Qui est concerné par cette vulnérabilité ?

Vous êtes concerné par cette vulnérabilité si vous êtes sur PrestaShop en version 1.7 avec une version antérieure à 1.7.6.4.
Étant donné que cette version vient d’être publiée, l’ensemble des marchands 1.7 sont potentiellement concernés.

 

Que faire pour résoudre le problème ?

PrestaShop a annoncé la correction de cette faille dans la version 1.7.6.4.
Cela veut dire que la mise à jour de PrestaShop en version 1.7.6.4 résoudra le problème.
Dans la pratique, en fonction de votre version actuelle, une mise à jour de PrestaShop n’est pas simple.
Les changements de version se font idéalement dans un contexte plus serein que sur ce type d’urgence.
De plus, bien que l’impact soit réduit, la version 1.7.6.4 introduit un nouveau problème sur la gestion des adresses suite à cette correction urgente. Nous recommandons donc d’appliquer dans un premier temps le correctif de façon manuelle et d’envisager la montée de version dans un second temps.

Notre équipe est en mesure de vous aider à injecter les correctifs rapidement.

Contactez-nous !

 

 

Sources :
https://build.prestashop.com/news/prestashop-1-7-6-4-maintenance-release/
https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mhfc-6rhg-fxp3
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5250
https://github.com/PrestaShop/PrestaShop/pull/18073