PrestaShop potencia miles de tiendas en línea en todo el mundo. Sin embargo, como cualquier software, puede tener vulnerabilidades que pueden ser explotadas por hackers para obtener acceso no autorizado o realizar acciones maliciosas. Recientemente, se descubrieron dos vulnerabilidades en PrestaShop que pueden tener un impacto significativo en la seguridad de las tiendas en línea que utilizan esta plataforma. Te decimos cómo mantener segura tu tienda.
La primera vulnerabilidad, CVE-2023-30838, es una posible inyección de scripts entre sitios (XSS) que puede ocurrir a través del método ValidateCore::isCleanHTML(). El impacto de esta vulnerabilidad es significativo porque puede ser activado sin ninguna interacción del visitante o administrador de la tienda en línea. Esto significa que un hacker puede inyectar código malicioso en los elementos HTML de la tienda, lo que puede ser utilizado para robar datos sensibles u realizar otras acciones maliciosas.
Lo que hace que esta vulnerabilidad sea aún más peligrosa es que puede tomar control de cada elemento HTML en la tienda. Esto significa que el alcance de esta vulnerabilidad no se limite a un atributo HTML específico, como ocurre con la mayoría de las vulnerabilidades XSS. Por lo tanto, el riesgo de que esta vulnerabilidad sea explotada es mayor y las consecuencias pueden ser más graves.
La segunda vulnerabilidad, CVE-2023-30839, es un bypass del filtro SQL que puede llevar a solicitudes de escritura arbitrarias mediante "SQL Manager". Esta vulnerabilidad permite a un usuario de la trastienda escribir, actualizar y eliminar datos en la base de datos sin tener derechos específicos. Esto significa que un hacker puede obtener acceso a información sensible, modificar datos o incluso eliminar datos de la base de datos de la tienda.
Solución a la vulnerabilidad
La mejor solución para abordar estas vulnerabilidades en PrestaShop es actualizar a las últimas versiones, que, a partir de mayo de 2023, son PrestaShop 1.7.8.9 y PrestaShop 8.0.4. Estas versiones incluyen parches para las vulnerabilidades, así como otras mejoras y correcciones de errores. Por lo tanto, se recomienda encarecidamente a los propietarios de tiendas PrestaShop que actualicen a estas versiones lo antes posible para garantizar la seguridad e integridad de su tienda.
Si no es una opción para ti actualizar tu tienda, afortunadamente, hay una solución disponible para estas vulnerabilidades en forma de un módulo gratuito que se puede descargar desde GitHub. El módulo, llamado fixcwe79cwe89, ha sido desarrollado por un desarrollador de la comunidad y está diseñado para abordar ambas vulnerabilidades. Una vez instalado, el módulo reescribe el código vulnerable de tu PrestaShop con el código corregido.
Los propietarios de tiendas en línea que utilizan PrestaShop deben tomar en serio estas vulnerabilidades y tomar medidas para mitigar los riesgos. La instalación del módulo fixcwe79cwe89 es una forma simple y efectiva de proteger tu tienda en estos momentos.
Además, se recomienda que los propietarios de tiendas en línea mantengan su software actualizado con los últimos parches de seguridad e implementen otras medidas de seguridad, como contraseñas fuertes, para fortalecer aún más la seguridad de su tienda en línea.
