Ceci est une mise à jour de sécurité pour toutes les versions précédentes de PrestaShop 1.7.
Les chercheurs en sécurité ont récemment signalé à l'équipe de Prestashop principale deux vulnérabilités affectant le Back Office, l'une critique.
Numéro 1 - Critique Les paramètres de désérialisation des paramètres pourraient être exploités par un attaquant authentifié afin d'exécuter du code arbitraire sur le serveur, avec le même niveau d'utilisateur que le binaire PHP.
Ce problème a été introduit par un RP fusionné en septembre 2016. Par conséquent, toutes les versions 1.7 de PrestaShop sont concernées.
Le correctif peut être trouvé dans PR # 8772.
Numéro 2 - mineur Des paramètres mal désinfectés pourraient être exploités par un attaquant authentifié afin de répertorier et de naviguer dans le répertoire / img de la boutique.
Ce problème a été introduit par un commit en mars 2014, donc toutes les versions de PrestaShop à partir de 1.6.0.4 sont concernées.
Le correctif pour 1.7.x se trouve dans le PR # 8755.
Le correctif pour 1.6.x se trouve dans le PR # 8785 (sera disponible dans la prochaine version 1.6.1.19).
** Veuillez noter que les deux attaques ne peuvent être exploitées que par des utilisateurs possédant des informations d'identification valides auprès du back-office. **
Lire l'article sur le Blog de prestashop (en)