Une attaque contre certaines boutiques PrestaShop nous a été signalée. Merci aux nombreux professionnels qui nous ont contactés pour nous avertir. Les équipes PrestaShop ont immédiatement lancé une recherche exhaustive des vulnérabilités exploitées par cette attaque, et en ont identifié la cause.
Nous avons constaté que seuls quelques modules et thèmes sont concernés. Ceux-ci ne sont désormais plus disponibles au téléchargement via la PrestaShop Addons Marketplace, et les développeurs de ces modules et thèmes ont été informés.
Qui est concerné ?
Les vulnérabilités ici en cause correspondent à plusieurs fichiers, contenus dans certaines versions de modules et de thèmes. Ces fichiers se retrouvent dans des modules nommés “explorerpro”, “sampledatainstall”, et “colorpictures” :
-
/modules/explorerpro/action.php
-
/modules/sampledatainstall/sampledatainstall-ajax.php
-
/modules/colorpictures/ajax/upload.php
Si vous trouvez ces fichiers, alors le thème ou le module concerné est vulnérable.
Que faire ?
Si vous êtes concerné, le plus simple est de désactiver puis de supprimer ces modules si vous n’en avez pas l’usage. Si vous utilisez encore ces modules, une mise à jour dans leur toute dernière version est nécessaire.
Si ces fichiers sont inclus dans un thème, vérifiez que c’est bien la dernière version qui est installée sur votre boutique en ligne. Au besoin, contactez le développeur du thème.
Enfin, les prestataires qui ont l’habitude de travailler avec vous sur votre site web sont évidemment les bons interlocuteurs en cas de doute : ils sauront quoi faire pour protéger votre boutique en ligne. Vous pouvez aussi contacter notre service d’aide et consulter notre sélection de partenaires.
Fort heureusement, une grande majorité de boutiques en ligne créées avec PrestaShop utilisent d'autres thèmes ou semblent fonctionner avec des versions à jour de ces modules et ne risquent donc rien.
Encore merci à tous ceux qui nous ont contactés pour signaler ce problème de sécurité de certains modules et thèmes. Continuons à améliorer ensemble la sécurité de PrestaShop et de ses extensions.
