Nuevas vulnerabilidades en PrestaShop ¡Actualiza lo más pronto posible!
Versiones 8.1.0 y anteriores.
PrestaShop Project ha informado de la detección de dos vulnerabilidades. Una de inyección SQL y escritura arbitraria con severidad crítica y otra de inyección XSS catalogada con una severidad alta. El primer tipo de vulnerabilidad podría permitir a cualquier usuario con permisos de administrador escribir, actualizar o eliminar bases de datos SQL independientemente de sus permisos. El segundo tipo podría permitir a los ciberatacantes interceptar cookies de sesión para redirigir las instalaciones afectadas a páginas fraudulentas que contengan phishing, entre otros riesgos.
El equipo de PrestaShop ha publicado parches para las versiones 1.7.8.10, 8.1.1 y 8.0.5. Se recomienda descargar la actualización correspondiente e instalar una de las versiones indicadas.
Las actualizaciones de seguridad corrigen fallos detectados por el fabricante o la comunidad, por ello, es pertinente instalarlas en la mayor brevedad desde que se publican. Se recomienda hacerlo de una manera segura y controlada (evitando interrupciones de servicio). Consulta el siguiente blog para conocer la importancia de las mismas, así como las precauciones a tener en cuenta a la hora de actualizar.
Aprende de qué manera gestionar los incidentes de seguridad con el fin de minimizar los riesgos a los que se expone la empresa con vulnerabilidades de este tipo.
La vulnerabilidad crítica de inyección SQL podría permitir a un ciberatacante ejecutar remotamente código y copiar archivos, lo que supondría la modificación de las bases de datos legítimas.
Por otro lado, la vulnerabilidad alta de inyección XSS podría permitir a un usuario malintencionado que emplee el método isCleanHTML interceptar cookies de sesión y emplearlas de manera ilegítima, redireccionando al usuario a páginas indeseadas o maliciosas.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).