Ceci est une mise à jour de sécurité pour toutes les versions précédentes de PrestaShop 1.7.
Les chercheurs en sécurité ont récemment signalé à l'équipe de Prestashop principale deux vulnérabilités affectant le Back Office, l'une critique.
Numéro 1 - Critique
Les paramètres de désérialisation des paramètres pourraient être exploités par un attaquant authentifié afin d'exécuter du code arbitraire sur le serveur, avec le même niveau d'utilisateur que le binaire PHP.
Ce problème a été introduit par un RP fusionné en septembre 2016. Par conséquent, toutes les versions 1.7 de PrestaShop sont concernées.
Le correctif peut être trouvé dans PR # 8772.
Numéro 2 - mineur
Des paramètres mal désinfectés pourraient être exploités par un attaquant authentifié afin de répertorier et de naviguer dans le répertoire / img de la boutique.
Ce problème a été introduit par un commit en mars 2014, donc toutes les versions de PrestaShop à partir de 1.6.0.4 sont concernées.
Le correctif pour 1.7.x se trouve dans le PR # 8755.
Le correctif pour 1.6.x se trouve dans le PR # 8785 (sera disponible dans la prochaine version 1.6.1.19).
** Veuillez noter que les deux attaques ne peuvent être exploitées que par des utilisateurs possédant des informations d'identification valides auprès du back-office. **
L'ajout de commentaire est libre et ne demande pas d'inscription
Langue | |
Date | 21 Déc 2020 |
Taille | 0.87 Mo |
Catégorie | Galeries |
Langue | |
Date | 16 Déc 2020 |
Taille | 36 Mo |
Catégorie | CMS |
Langue | |
Date | 14 Déc 2020 |
Taille | 12 Mo |
Catégorie | CMS |
Langue | |
Date | 14 Déc 2020 |
Taille | 60 Mo |
Catégorie | CRM |