PrestaShop 1.7 : Faille de sécurité

Avec la sortie de la 1.7.6.4, il a été révélé la découverte une faille de sécurité touchant toutes les versions 1.7 corrigée dans la dernière version.

Voir l’annonce de la sortie https://build.prestashop.com/news/prestashop-1-7-6-4-maintenance-release/

La faille est décrite ici : https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mhfc-6rhg-fxp3

Je ne rentrerai pas dans le détail de la faille et comment l'exploiter.

PrestaShop 1.6 n'est pas concerné.

En cas de doute, nous pouvons vous accompagner, nous contacter

Comment la corriger, deux méthodes :

Mettre à jour votre version

Faire la mise à jour de votre PrestaShop 1.7 vers la 1.7.6.4 avec le module  "1-Click Upgrade" mais attention, une mise à jour n'est jamais anodine donc faites d'abord cette mise à jour sur une preprod.

Manuellement

Voici avec le détail du commit effectuer sur la 1.7.6.4 qui corriger la faille :
https://github.com/PrestaShop/PrestaShop/commit/a4a609b5064661f0b47ab5bc538e1a9cd3dd1069

Et
https://github.com/PrestaShop/PrestaShop/pull/18073/commits/513e1312f94164fec90d5c8648459ccbbc73f517

La correction consiste à modifier quelques fichiers

  • classes/form/CustomerAddressForm.php
  • classes/form/CustomerAddressFormatter.php
  • classes/form/CustomerForm.php
  • classes/form/CustomerFormatter.php

Les corrections de code sont sur les liens.

En cas de doute, nous pouvons vous accompagner, nous contacter

Posté dans PrestaShop, Sécurité le 11 mars 2020