XSS – Vulnerabilidad detectada en versiones 1.4.X de Prestashop

27 Ago, 2013
Autor: josemanuel

xss vulnerabilidad

Recientemente hemos detectado algunos sitios desarrollados con Prestashop 1.4.7 y 1.4.8 que han mostrado síntomas de haber sido hackeados, ya que mostraban inyecciones de código en multitud de los archivos de la aplicación.

Hasta ahora nunca habíamos detectado en ninguno de nuestros clientes consecuencias de un ataque exitoso sobre una instalación de PrestaShop, lo cual demuestra una vez mas la robustez y seguridad de Prestashop. No obstante siempre hemos sido precavidos y siempre hemos promulgado que no existe el software 100% seguro y que era posible que llegara una situación como esta.

En este caso la vulnerabilidad detectada esta relacionada con ataques XSS o Cross Site Scripting. Para mas información a cerca de la sistemática de este tipo de ataques, por favor, visite este enlace.

En este vídeo pueden ver un ejemplo donde se intenta explotar este fallo de seguridad en una versión vulnerable de PrestaShop y en otra que no lo es:

En este ejemplo lo único que hemos realizado explotando la vulnerabilidad es mostrar un mensaje, pero en su lugar se puede ejecutar otro script que modifique archivos, que envíe spam, que busque contenido, etc… Como vemos es una situación delicada y potencialmente muy peligrosa.

Las versiones de Prestashop afectadas, al menos que se haya comprobado que están afectadas, son las versiones:

  • 1.4.8.x
  • 1.4.7.x

Aunque es muy probable que versiones anteriores también lo sean.

La manera de proteger nuestras tiendas de este problema es simple, ACTUALIZAR. Si es posible actualizar a versiones 1.5.x de PrestShop. Si por el motivo que sea no podemos actualizar a esta versión, como por ejemplo el uso de plantillas o módulos no compatibles, actualizar al menos a la 1.4.11 ya que, como hemos visto en el vídeo, es una versión no expuesta a este problema.

Si desea saber mas a cerca de este problema, por favor, visite los siguientes enlaces:

Para saber como actualizar prestashop, revise este artículo: Actualizar a PrestaShop 1.5 y copias de seguridad
Remarcar que el proceso de actualización de PrestaShop a la versión 1.5.x y 1.4.x, usando el módulo 1-clic Upgrade, es exactamente el mismo que el que se muestra en el artículo anterior

Artículos relacionados

Cómo optimizar imágenes para utilizarlas en nuestra web

Cómo optimizar imágenes para utilizarlas en nuestra web

¿Por qué optimizar las imágenes que queremos subir a nuestra web? El hecho de optimizar imágenes es vital para nuestra web, ya que las imágenes se interrelacionan tanto con el diseño como con la maquetación, la programación y, ahora también, con la inclusión de la...

Eliminar aviso de sitio peligroso en nuestra web

Eliminar aviso de sitio peligroso en nuestra web

Si cuando alguien quiere entrar a tu sitio web recibe la pantalla roja con el mensaje de error “El sitio al que vas a acceder contiene programas dañinos” o «El sitio al que vas a acceder contiene software malicioso» lo más seguro es que tu sitio web haya sido hackeado...

PrestaShop vs WooCommerce: ¿Cuál es la opción ideal?

PrestaShop vs WooCommerce: ¿Cuál es la opción ideal?

Antes de acometer el desarrollo de una tienda online es muy importante saber valorar las diferentes opciones que tenemos a nuestro alcance para ser capaces de seleccionar aquella que se ajuste con mayor precisión a lo que necesitamos. Tomar la decisión apropiada en...

Comentarios

1 Comentario

  1. Newest Jordans 2014

    Paying close attention to detail, the meticulous design is featured throughout the sneaker complimented with Black and White finishes. Even using the Diamond Black label in place of the classic Air Jordan tongue logo, no detail was overlooked. Equipped with a Gold El Cappy lacelock, to top it all off, he

    Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *