W społeczności PrestaShop opublikowano ostrzeżenie dotyczące krytycznej podatności bezpieczeństwa w popularnym module Faceted Search (ps_facetedsearch). Problem jest na tyle poważny, że producent zaleca niezwłoczną aktualizację wszystkim administratorom sklepów korzystającym z tego modułu.
Co się wydarzyło?
PrestaShop opublikował komunikat bezpieczeństwa dotyczący podatności oznaczonej jako:
GHSA-m5f5-28qr-9g9r
Podatność została sklasyfikowana jako Critical i dotyczy modułu odpowiedzialnego za filtrowanie produktów w sklepie internetowym.
Według informacji producenta problem może prowadzić do:
- zdalnego wykonania kodu (RCE),
- przejęcia kontroli nad sklepem,
- instalacji złośliwego oprogramowania,
- kradzieży danych klientów,
- utworzenia nieautoryzowanych kont administratorów.
Najbardziej niepokojący jest fakt, że podatność może zostać wykorzystana przez osobę nieposiadającą konta w sklepie.
Jak działa podatność?
Błąd został opisany jako:
PHP Object Injection in faceted search cache allows unauthenticated RCE.
W uproszczeniu oznacza to, że odpowiednio spreparowane dane mogą zostać przetworzone przez mechanizm pamięci podręcznej modułu, co może doprowadzić do wykonania nieautoryzowanego kodu PHP na serwerze.
W praktyce skutki mogą obejmować pełne przejęcie sklepu internetowego.
Kto jest zagrożony?
Zagrożone są sklepy korzystające z modułu:
ps_facetedsearch
Jest to jeden z najpopularniejszych modułów dla PrestaShop, ponieważ odpowiada za filtrowanie produktów według:
- ceny,
- producenta,
- koloru,
- rozmiaru,
- cech produktu.
Jeżeli w Twoim sklepie działają filtry produktów w kategoriach, istnieje duże prawdopodobieństwo, że korzystasz właśnie z tego modułu.
Jak sprawdzić, czy moduł jest zainstalowany?
W panelu administracyjnym PrestaShop przejdź do:
- Moduły
- Menedżer modułów
- Wyszukaj „Faceted Search”
Możesz również sprawdzić obecność katalogu:
/modules/ps_facetedsearch/
Co należy zrobić?
Jeżeli korzystasz z modułu Faceted Search:
- wykonaj kopię zapasową sklepu,
- wykonaj kopię zapasową bazy danych,
- zaktualizuj moduł do najnowszej wersji,
- sprawdź logi serwera pod kątem podejrzanej aktywności,
- zweryfikuj konta administratorów,
- upewnij się, że sklep działa na aktualnej wersji PrestaShop.
Dodatkowe aktualizacje bezpieczeństwa
Przy okazji PrestaShop przypomina również o aktualizacji rdzenia systemu do najnowszych wersji bezpieczeństwa:
- PrestaShop 8.2.6
- PrestaShop 9.1.1
Wersje te usuwają odrębną krytyczną podatność wykrytą w samym rdzeniu platformy.
Rekomendacja Prywatny Informatyk
Administratorzy sklepów PrestaShop powinni potraktować tę podatność jako priorytetową. Ze względu na możliwość zdalnego wykonania kodu przez nieautoryzowanego użytkownika zalecamy przeprowadzenie aktualizacji natychmiast po zweryfikowaniu wersji modułu.
Jeżeli nie masz pewności, czy Twój sklep jest zagrożony, skontaktuj się z administratorem hostingu lub specjalistą obsługującym Twoją instalację PrestaShop.