Bonjour,

Je relaye l’information découverte ce matin sur le blog de Wixiweb: il y a une nouvelle faille de sécurité dans Prestashop.

Bon pour moi, ce n’est pas vraiment une faille mais plus un truc à savoir pour éviter les mauvaises surprises.

Le blog de Wixiweb il est expliqué que le problème viendrai de la compilation Smarty.

En effet, il est possible d’accéder à des données confidentielles en utilisant la console de débogage.
Cette fonctionnalité permet aux développeurs de corriger les bugs sur un site en cours de création.
Mais lorsqu’un site est en prod, cette fonctionnalité doit être normalement désactivé.

Pour vérifier si votre site est protégé:

  1. Ouvrer votre back office
  2. Onglet “paramètres avancés”
  3. Smarty
  4. Vérifier que la case “Ne pas ouvrir la console” est bien coché
  5. Voilà vous êtes tranquille
smartyprestashop

Le bloggeur avait testé cette vulnérabilité sur les références présentése sur le site de Prestashop et apparemment 50% des sites n’étaient pas protégés.

Cette faille permet à tout bon pirate de récupérer des infos comme la liste des modules ou encore des infos sur les produits.

Bref, je ne serai que vous conseiller de vérifier que votre boutique est correctement paramétrer.

Bon après midi.

Julie

Articles du même thème

2 commentaires

Julie Pierremont 29 juillet 2013 - 16 h 16 min

Suite à la publication de l’article de Wixiweb, Prestashop publiait sur son blog les 5 règles pour publier une boutique en évitant les failles de sécurité.
http://www.prestashop.com/blog/fr/5-regles-a-respecter-avant-de-mettre-sa-boutique-en-production/

Répondre
Arnaud Lemercier 5 août 2013 - 10 h 12 min

Bonjour Julie,

Merci d’avoir relayer l’information.
J’ajouterais également que de nouvelles choses se sont confirmées à la sortie de l’article.
Cette vulnérabilité est beaucoup plus présente que ce que l’on pensait au départ puisque c’est option est activé par défaut jusqu’à Prestashop 1.4
Il faut savoir que l’année dernière, 125.000 boutiques étaient en Prestashop 1.4 (ou antérieur).

J’ai mis à jour l’article avec les explications : http://blog.wixiweb.fr/faille-securite-prestashop-smarty/

Répondre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :