La plataforma de comercio electrónico de código abierto PrestaShop ha lanzado una nueva versión que corrige una vulnerabilidad de gravedad crítica que permite a cualquier usuario administrativo escribir, actualizar o eliminar bases de datos SQL independientemente de sus permisos.
Los usuarios administrativos son aquellos que tienen acceso a la interfaz administrativa del sitio, incluidos los propietarios, administradores, representantes de ventas, representantes de servicio al cliente, procesadores, personal de ingreso de datos y otros.
Los permisos de cada usuario están configurados para acceder solo a la información y las funciones requeridas para su función, que es una función de seguridad clave de PrestaShop.
Crítico rastreado como CVE-2023-30839 (puntuación CVSS v3.1: 9.9) permite a cualquier usuario, independientemente de sus permisos, realizar cambios no autorizados en la base de datos de la tienda en línea, lo que puede provocar daños significativos o pérdida de servicio para las empresas afectadas.
El error, para el cual no hay mitigación, afecta a todas las instalaciones de PrestaShop desde la versión 8.0.3 y anteriores.
Si bien la necesidad de tener una cuenta de usuario en el sitio vulnerable mitiga un poco la vulnerabilidad, teniendo en cuenta que las tiendas en línea a menudo emplean grandes equipos para procesar los pedidos, la falla conlleva el riesgo de que los empleados deshonestos o descontentos puedan causar daños.
Además, abre una superficie de ataque más grande para los piratas informáticos que ahora pueden comprometer cualquier cuenta de usuario en los sitios de comercio electrónico basados en PrestaShop y posiblemente inyectar código malicioso, puertas traseras u obtener acceso a la base de datos SQL.
Las inyecciones de puerta trasera a través de bases de datos de sitios web son una táctica de ataque sigiloso que Sucuri informó recientemente que está ganando terreno, principalmente dirigida a sitios web de WordPress.
El fabricante de software lo ha abordado lanzando las versiones 8.0.4 y 1.7.8.9 lanzadas ayer, que todos los propietarios de sitios web de PrestaShop deben actualizar lo antes posible.
La plataforma de comercio electrónico de código abierto también ha corregido otras dos vulnerabilidades en su última versión, a saber, CVE-2023-30535 (CVSS v3.1:7.7, «High») y CVE-2023-30838 (CVSS v3.1: 8.0 , «alto»).
El primero es un problema de lectura aleatoria de archivos que brinda a los usuarios no autorizados acceso a información crítica. El segundo es un problema de inyección XSS que puede secuestrar cualquier elemento HTML en el sitio web y disparar sin ninguna interacción.
Es importante aplicar las actualizaciones de seguridad disponibles lo antes posible porque los piratas informáticos siempre buscan vulnerabilidades en grandes plataformas como PrestaShop.
En julio de 2022, el proveedor de soluciones de comercio electrónico advirtió enérgicamente a sus usuarios que los piratas informáticos estaban atacando la plataforma al explotar una vulnerabilidad de día cero para realizar inyecciones SQL en sitios web basados en PrestaShop.
