Skip to main content

PrestaShop rilascia la versione 8.2.3: patch di sicurezza contro vulnerabilità nel reset password

Scritto da Simone il . Pubblicato in Ecommerce, News.

PrestaShop ha annunciato la disponibilità della nuova release 8.2.3, un aggiornamento mirato alla sicurezza che interessa la serie 8.2, attualmente in fase di supporto esteso.

L’intervento si è reso necessario dopo che, negli ultimi giorni, sono stati segnalati da parte della community e dei partner tentativi automatizzati di sfruttare la pagina di recupero password del back office per enumerare gli indirizzi email dei dipendenti.

La vulnerabilità individuata

Il problema riguardava la possibilità, da parte di un attaccante non autenticato, di manipolare i parametri id_employee e reset_token nella pagina di reset password. In questo modo si poteva capire quali account fossero presenti all’interno del back office.
Per sfruttare la falla, l’aggressore doveva conoscere o indovinare l’URL del back office, motivo per cui molti merchant avevano già ridotto i rischi personalizzando questo indirizzo. Tuttavia, PrestaShop sottolinea che tale misura non è sufficiente come protezione definitiva.

L’aggiornamento 8.2.3

La patch corregge il processo di validazione dei token nel reset password, impedendo che vengano rivelate informazioni utili a identificare gli account interni.
Oltre alla correzione di sicurezza, sono inclusi anche alcuni bugfix e miglioramenti di basso rischio già validati.

Chi utilizza PrestaShop 8 è invitato ad aggiornare al più presto alla versione 8.2.3 tramite l’Update Assistant, seguendo i passaggi classici: attivazione della modalità manutenzione, esecuzione dell’update, verifica dei log e riapertura del negozio.
È possibile, in alternativa, applicare manualmente la patch modificando il file AdminLoginController.php, ma la soluzione raccomandata resta l’aggiornamento completo.

Possibili workaround temporanei

In attesa dell’update, gli sviluppatori suggeriscono alcuni accorgimenti per ridurre i rischi:

  • limitare l’accesso al back office tramite VPN o whitelist IP,
  • aggiungere un livello extra di autenticazione HTTP,
  • personalizzare l’URL di accesso,
  • configurare rate limiting o regole WAF per la route di reset password,
  • monitorare i log per rilevare tentativi sospetti,
  • attivare l’autenticazione a due fattori con moduli esterni.

PrestaShop 9 non è vulnerabile

Da segnalare che PrestaShop 9, grazie alla nuova architettura Symfony per autenticazione e reset password, non è interessato da questa vulnerabilità. La roadmap del progetto incoraggia già i merchant a pianificare la migrazione verso la nuova major release, che offrirà maggiore sicurezza e nuove funzionalità.

Il rilascio della versione 8.2.3 rappresenta un passo cruciale per mantenere sicuri i negozi online che ancora si affidano alla serie 8.2.x.
PrestaShop ribadisce l’importanza di eseguire l’aggiornamento immediatamente, ricordando che ogni ritardo può esporre i merchant a rischi concreti.

Per i meno esperti ricordiamo che Prestalia è a disposizione nel supportarvi con interventi dedicati legati alla vostra installazione Prestashop , è inoltre disponibile un servizio dedicato per l’aggiornamento Prestashop che consente di mantenere la propria installazione aggiornata all’ultima versione stabile.

Prestalia
advanced ecommerce solutions

Contatti

Prestalia by GAN s.r.l.
Strada degli Angariari, 25
47891 Falciano
Repubblica di San Marino

Parla con noi

Scopri

HTML5 logo pos CSS3 logo pos  Built with HTML5 and CSS3 - Privacy e Cookie Policy