Une nouvelle mise à jour de sécurité critique est disponible pour la plateforme de e-commerce PrestaShop. Si vous l'utilisez, vous devez installer la mise à jour dès que possible. Voici ce qu'il faut savoir.

Associée à la référence CVE-2023-30839, cette vulnérabilité critique hérite d'un score CVSS de 9.9 sur 10 ! En fait, à cause de cette vulnérabilité, n'importe quel utilisateur qui dispose d'un accès au back office du site peut effectuer n'importe quelle modification dans la base de données, peu importe les droits qui lui sont attribués initialement. Autant vous dire que les possibilités sont nombreuses à partir du moment où l'on peut lire, écrire et modifier dans la base de données.

Dans l'exemple d'un site de e-commerce basé sur PrestaShop, plusieurs personnes peuvent avoir accès au back office c'est-à-dire à l'interface d'administration, avec différents rôles : les administrateurs, les agents du service clientèle, les responsables du traitement des commandes, le personnel chargé d'ajouter des produits, etc... Ainsi, chaque utilisateur à des droits spécifiques sur le back office de PrestaShop en fonction de ses attributions.

À cause de cette faille de sécurité, le danger potentiel ne vient pas des clients de la boutique en ligne, mais plutôt des employés qui administre et exploite le site PrestaShop. Un employé malintentionné (et qui doit quand même avoir des connaissances bien sûr....) pourrait tirer profit de cette faille de sécurité. Autre cas possible, un employé qui se fait compromettre son compte d'accès au back office PrestaShop : le pirate peut exploiter cet accès pour prendre le contrôle de la boutique en ligne. C'est surtout ce second exemple qui justifie, à mon sens, le critère d'urgence quant à l'installation de ce correctif de sécurité.

Comment protéger sa boutique PrestaShop ?

L'éditeur de PrestaShop a corrigé cette faille de sécurité critique grâce à deux nouvelles mises à jour : 8.0.4 et 1.7.8.9. Il est conseillé de faire la mise à jour dès que possible, car elle affecte toutes les versions antérieures.

Cette mise à jour corrige aussi deux autres vulnérabilités : CVE-2023-30535 et CVE-2023-30838.

Source

The post Mettez à jour PrestaShop : cette faille critique donne un accès à la base de données ! first appeared on IT-Connect.