Avec la sortie de la 1.7.6.4, il a été révélé la découverte une faille de sécurité touchant toutes les versions 1.7 corrigée dans la dernière version.
Voir l’annonce de la sortie https://build.prestashop.com/news/prestashop-1-7-6-4-maintenance-release/
La faille est décrite ici : https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mhfc-6rhg-fxp3
Je ne rentrerai pas dans le détail de la faille et comment l'exploiter.
PrestaShop 1.6 n'est pas concerné.
En cas de doute, nous pouvons vous accompagner, nous contacter
Comment la corriger, deux méthodes :
Mettre à jour votre version
Faire la mise à jour de votre PrestaShop 1.7 vers la 1.7.6.4 avec le module "1-Click Upgrade" mais attention, une mise à jour n'est jamais anodine donc faites d'abord cette mise à jour sur une preprod.
Manuellement
Voici avec le détail du commit effectuer sur la 1.7.6.4 qui corriger la faille :
https://github.com/PrestaShop/PrestaShop/commit/a4a609b5064661f0b47ab5bc538e1a9cd3dd1069
Et
https://github.com/PrestaShop/PrestaShop/pull/18073/commits/513e1312f94164fec90d5c8648459ccbbc73f517
La correction consiste à modifier quelques fichiers
- classes/form/CustomerAddressForm.php
- classes/form/CustomerAddressFormatter.php
- classes/form/CustomerForm.php
- classes/form/CustomerFormatter.php
Les corrections de code sont sur les liens.
En cas de doute, nous pouvons vous accompagner, nous contacter
Posté dans PrestaShop, Sécurité le 11 mars 2020