Nos hacemos eco de un aviso de un grave fallo de seguridad publicado por Prestashop con un parche recién publicado para la rama 1.7x que según su propia información, afecta a:
Según nuestro conocimiento, este problema parece afectar a las tiendas basadas en las versiones 1.6.0.10 o superiores, sujetas a vulnerabilidades de inyección SQL. Las versiones 1.7.8.2 y posteriores no son vulnerables a menos que estén ejecutando un módulo o código personalizado que a su vez incluye una vulnerabilidad de inyección SQL. Tenga en cuenta que las versiones 2.0.0~2.1.0 del módulo Wishlist (blockwishlist) son vulnerables.
Actualización, se acaba de liberar un parche para la rama 1.7X pero para otras versiones anteriores, seguid esos pasos para la mitigación
¿Qué hacer para mantener tu tienda segura? (trad de Prestashop)
En primer lugar, asegúrese de que su tienda y todos sus módulos estén actualizados a su última versión. Esto debería evitar que su tienda quede expuesta a vulnerabilidades de inyección SQL conocidas y explotadas activamente.
De acuerdo con nuestra comprensión actual del exploit, los atacantes podrían estar utilizando las funciones de almacenamiento en caché de MySQL Smarty como parte del vector de ataque. Esta característica rara vez se usa y está deshabilitada de forma predeterminada, pero el atacante puede habilitarla de forma remota. Hasta que se publique un parche, recomendamos deshabilitar físicamente esta función en el código de PrestaShop para romper la cadena de ataque.
Para hacerlo, ubique el archivo config/smarty.config.inc.php
en su instalación de PrestaShop (dentro de config) y elimine las líneas 43-46 (PrestaShop 1.7) o 40-43 (PrestaShop 1.6):
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}