Une CVE de gravité 9.9/10 sur Prestashop !
Avec cette faille, tout utilisateur disposant d'un accès au backoffice de Prestashop (son interface d'administration), peut réaliser des modifications dans la base de données, et ce, quel que soit son niveau de droit. C'est la raison de cette note si élevée.
Prestashop, plateforme open source pour l'e-commerce.
PrestaShop est une plateforme de commerce électronique (e-commerce) open source qui permet aux entreprises de toutes tailles de créer et de gérer une boutique en ligne. Elle offre Beaucoup de fonctionnalités, notamment la gestion des produits, des commandes, des clients, ainsi que des outils de marketing. Comme toutes ces plateformes, elles sont sujettes à de nombreuses vulnérabilités.
Prestashop, plateforme open source pour l'e-commerce.
PrestaShop est une plateforme e-commerce open source, créée en 2007, permettant la création de boutiques en ligne. Elle offre une flexibilité étendue avec un code source accessible, permettant aux utilisateurs de personnaliser leur site selon leurs besoins. PrestaShop propose une variété de fonctionnalités telles que la gestion des produits, des commandes, des clients et des paiements. Son interface conviviale facilite la navigation et la gestion des boutiques, même pour les utilisateurs novices. Le système modulaire de PrestaShop permet l'ajout de modules et de thèmes pour étendre les fonctionnalités et améliorer l'esthétique du site. Avec une communauté active, PrestaShop bénéficie de mises à jour fréquentes et du support d'une large base d'utilisateurs. Cette plateforme est adaptée aux petites et moyennes entreprises cherchant à établir une présence en ligne sans les coûts associés aux solutions propriétaires. Comme toutes ces plateformes, elles sont sujettes à de vulnérabilités pouvant mettre en danger votre activité.
Nouvelle vulnérabilité (Avril 2023).
Une vulnérabilité critique a été identifiée dans PrestaShop, référencée sous le numéro CVE-2023-30839. Cette vulnérabilité a été rendue publique le 27 avril 2023 et a reçu un score CVSS de 9.9 sur 10, ce qui indique sa gravité. Il s'agit d'une faille permettant une injection SQL, liée à l'absence de détection des caractères spéciaux dans les requêtes.
En raison de cette vulnérabilité, tout utilisateur ayant accès au backoffice (l'interface d'administration du site e-commerce sous Prestashop) peut effectuer n’importe quelle modification dans la base de données, quel que soit le niveau de droits qui lui a été attribué initialement. Cela signifie qu’un utilisateur pourrait lire, écrire et modifier dans la base de données. PrestaShop 8.0.4 et 1.7.8.9 contiennent un correctif pour ce problème.
Quelles conséquences pour cette faille ?
La menace potentielle ne vient pas des clients de la boutique en ligne, mais plutôt des employés (ou d’un hackeur mal intentionné) qui administrent et exploitent le site PrestaShop. La personne malveillante pourrait tirer profit de cette faille de sécurité, par exemple après avoir pris le contrôle sur l'ordinateur de l'un des administrateur du site e-commerce. De plus, si un employé se fait compromettre son compte d’accès au backoffice PrestaShop, un pirate pourrait exploiter cet accès pour prendre le contrôle de la boutique en ligne. Il est alors possible de supprimer des données du site internet, modifier la présentation des artices, etc... Mais peut-être plus grave encore, il serait possible de lire et d'extraire les informations d'identification des clients du site e-commerce, provoquant une fuite de données et une mise en danger des clients.
Comment corriger cette vulnérabilité ?
L’éditeur de PrestaShop a corrigé cette faille de sécurité critique grâce à deux nouvelles mises à jour : 8.0.4 et 1.7.8.9. C’est impératif de faire cette mise à jour car elle affecte toutes les versions antérieures. Ces mises à jour corrigent également deux autres vulnérabilités : CVE-2023-30535 et CVE-2023-30838.
En conclusion, il est essentiel de maintenir à jour votre plateforme PrestaShop pour garantir la sécurité de votre boutique en ligne et protéger les informations sensibles de votre entreprise et de vos clients.
Un Web application firewall pour bloquer les injections SQL ?
Grâce à un service WAF (Web Application Firewall), tel que ProtectMy.site, les injections SQL sont bloquées par détection de leur signature d'attaque : même pour les pages vulnérables, la protection est activée. Ce n'est pas une raison pour ne pas mettre à jour son CMS ou sa plateforme e-commerce, mais cela permet de compliquer l'exploitation de la vulnérabilité, même en 0day.