Prestashop, alerte de faille de sécurité sur les versions 1.7
11 mars 2020
Une faille de sécurité a été découverte par PrestaShop dans les versions 1.7.0.0 jusqu’à 1.7.6.3
Est-ce une faille critique qui peut avoir un impact sur mon commerce ?
Oui, cette faille permet à un pirate de modifier les comptes clients pour les rendre inutilisables (perte des adresses postales et informations de compte). Notamment, dans PrestaShop avant la version 1.7.6.4, lorsqu’un client modifie son adresse, il peut librement changer l’id_address dans le formulaire, et ainsi voler l’adresse de quelqu’un d’autre. Il en va de même avec le CustomerForm, vous pouvez changer l’id_client et modifier toutes les informations de tous les comptes.
Des robots malveillants sont actuellement à la recherche de sites comportant cette faille, le temps est compté pour se protéger.
Comment se protéger ?
Afin de sécuriser votre site de cette faille, 5 fichiers sont à mettre à jour. Vous aver deux possibilités :
• Vous pouvez utiliser la fonction 1 Click Upgrade de Prestashop (attention à bien faire une sauvegarde intégrale de votre boutique avant toute mise à jour).
• Vous pouvez mettre à jour manuellement les fichiers concernés (6 au total) en suivant notre procédure ci-dessous.
Mettre à jour manuellement mon Prestashop
Pour plus de sécurité, vous pouvez éditer vous-même les fichiers concernés par la faille, à savoir :
- classes/form/CustomerAddressForm.php
- classes/form/CustomerAddressFormatter.php
- classes/form/CustomerForm.php
- classes/form/CustomerFormatter.php
Téléchargez le patch suivant concernant les 4 classes à corriger : Patch-1.7.6.4
Remplacez les fichiers php par ceux contenu dans le .zip. Attention si vous avez des overrides à bien mettre à jour vos fichiers.
Mettez également à jour votre fichier themes/votretheme/templates/checkout/_partials/steps/addresses.tpl en remplaçant la ligne
action="{$urls.pages.order}"
par
action="{url entity='order' params=['id_address' => $id_address]}"
Une fois ces modifications faites, la faille est corrigé !
Si vous êtes hésitant à faire des modifications, n’hésitez pas à contacter notre agence.