Les utilisateurs de PrestaShop ont été invités à passer à la dernière version après la découverte d’une faille dans la manière dont la plate-forme e-commerce gère les données de session.
Le bogue, découvert par Ambionics Security et détaillé dans un article technique plus tôt cette semaine, pourrait permettre à un attaquant de prendre le contrôle de toute session client, de voler des données commerciales ou d’avoir un accès total au panneau administrateur.
Selon Charles Fol d’Ambionics, au lieu d’utiliser l’ID de session PHP habituel et de stocker des données localement, il s’est avéré que PrestaShop stockait les données de session dans un cookie sans chiffrement adéquat et sans signature cryptographique.
“Pour que le cookie ne soit pas altéré, une somme de contrôle est ajoutée et le tout est alors chiffré”, a noté Fol.
“Le processus est défectueux et permet aux pirates de lire et d’écrire des données de session et donc de détourner des sessions de clients ou d’employés, ce qui entraîne un contrôle partiel ou complet du site.”
La société a été alertée de la vulnérabilité en mai et a résolu le problème dans les versions 1.6.1.20 et 1.7.3.4.
À propos de l’auteur