Faille de sécurité sur PrestaShop

Une faille a été découverte et concerne toutes les versions de PrestaShop depuis la 1.4.

Elle permet a une personne mal attentionné de consulter toutes les commandes en détournant le système permettant de repasser une commande !.

La signalisation : https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-frf2-c9q3-qg9m

Cette faille est facile à corriger 

Pour PrestShop 1.6 et 1.5

Source : https://github.com/PrestaShop/PrestaShop-1.6/pull/14/commits/86defd28ef13b41bc1b55aa50df023ec1ee2ca51

- éditer le fichier : controllers/front/ParentOrderController.php

- rechercher la ligne : if (Tools::isSubmit('submitReorder') && $id_order = (int)Tools::getValue('id_order')) {

- la remplacer par : 

if (Tools::isSubmit('submitReorder')
&& $this->context->customer->isLogged()
&& $id_order = (int)Tools::getValue('id_order')
) {

Pour PrestaShop 1.7

Source : https://github.com/PrestaShop/PrestaShop/commit/3afc5a663c49eb9d727f3fc0004d78c4a8ff8e39

- eéditer le fichier : controllers/front/OrderController.php

- rechercher la ligne : if (Tools::isSubmit('submitReorder') && $id_order = (int) Tools::getValue('id_order')) {

- la remplacer par : 

if (Tools::isSubmit('submitReorder')
&& $this->context->customer->isLogged()
&& $id_order = (int)Tools::getValue('id_order')
) {

Ou mettre votre PrestaShop à jour sur la 1.7.6.9

Pour toutes questions : contactez-nous oui pour que nous intervenions c'est ici

Posté dans PrestaShop, Sécurité le 17 novembre 2020