PrestaShop advierte de una vulnerabilidad en su formulario de contacto
- PrestaShop, a partir de la versión 8.1.0.
Se ha detectado una vulnerabilidad en PrestaShop que afecta a versiones con la función customer-thread habilitada y que, de ser explotada con éxito, podría permitir a un ciberdelincuente autenticado realizar acciones dentro del alcance de los derechos de administrador.
PrestaShop recomienda a los usuarios actualizar a la versión 8.1.6.
Mientras no se haya actualizado a esta versión, es importante deshabilitar la función customer-thread.
Recuerda que, para evitar este y otro tipo de vulnerabilidades, es esencial mantener los sistemas actualizados. Una mala planificación de las actualizaciones podría conllevar situaciones como la que se relata en esta historia real. Además, contar con un plan de respuesta ante incidentes puede ayudar a mitigar el impacto de un incidente de seguridad.
Cuando la función customer-thread está habilitada, un ciberdelincuente podría subir, a través del formulario de contacto, un archivo malicioso que contenga XSS.
Este se ejecutaría cuando un administrador abriese el archivo adjunto. Esto permitiría acceder a la sesión y al token de seguridad, facilitando al ciberdelincuente actuar dentro del alcance de los derechos del administrador.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
