¡Últimos Fallos de Seguridad descubiertos para PrestaShop 1.7.8 y 8!

Una parte esencial de tener una tienda online, es mantener una buena política de seguridad de vuestra tienda.
La seguridad de tu tienda en línea es esencial para proteger la información de tus clientes y mantener la integridad de tu negocio. En este post, te informaremos sobre varios fallos de seguridad recientes identificados en PrestaShop, así como las explicaciones de cada fallo y las posibles soluciones para mitigar los riesgos.

1. CVE-2023-39526: Ejecución de Código Remoto

• Descripción del Fallo: Este fallo permite a los atacantes ejecutar código malicioso en el servidor objetivo.
• Posible Solución: Actualiza tu instalación de PrestaShop a la última versión disponible que aborde este fallo de seguridad. Además, considera restringir el acceso a las áreas sensibles de tu servidor y utilizar una solución de seguridad de aplicaciones web (WAF) para proteger tu tienda en línea contra ataques.

2. CVE-2023-39527: Inyección de SQL

• Descripción del Fallo: Este fallo permite a los atacantes inyectar código SQL malicioso en la base de datos de PrestaShop, lo que podría llevar a la exposición de datos sensibles.
• Posible Solución: Aplica parches de seguridad proporcionados por PrestaShop para corregir esta vulnerabilidad. Además, considera implementar medidas de seguridad adicionales, como la sanitización de entradas de usuario y la configuración adecuada de permisos de base de datos.

3. CVE-2023-39529: Vulnerabilidad de Inyección de HTML/JavaScript

• Descripción del Fallo: Este fallo permite a los atacantes inyectar código HTML o JavaScript malicioso en páginas específicas de la tienda en línea.
• Posible Solución: Actualiza tu instalación de PrestaShop a una versión que aborde este fallo específico. Además, verifica y filtra cuidadosamente todas las entradas de usuario para evitar la ejecución de código no deseado en tu tienda en línea.

4. CVE-2023-39528: Divulgación de Información Sensible

• Descripción del Fallo: Este fallo podría permitir a los atacantes acceder y divulgar información sensible almacenada en la tienda en línea.
• Posible Solución: Aplica las actualizaciones de seguridad proporcionadas por PrestaShop para corregir esta vulnerabilidad. Además, asegúrate de que todas las configuraciones de seguridad estén correctamente configuradas y realiza auditorías de seguridad periódicas en tu tienda en línea.

5. CVE-2023-39524: Cross-Site Scripting (XSS)

• Descripción del Fallo: Este fallo permite a los atacantes ejecutar scripts maliciosos en el navegador de los usuarios que visitan la tienda en línea, lo que podría llevar al robo de información de sesión o la manipulación del contenido de la página.
• Posible Solución: Actualiza tu instalación de PrestaShop a una versión que aborde esta vulnerabilidad específica. Además, implementa medidas de seguridad adicionales, como la sanitización de entradas de usuario y la aplicación de encabezados de seguridad HTTP adecuados.

6. CVE-2024-26129: Vulnerabilidad de Escalada de Privilegios

• Descripción del Fallo: Este fallo permite a los atacantes obtener privilegios adicionales en la tienda en línea, lo que podría permitirles realizar actividades maliciosas con acceso elevado.
• Posible Solución: Aplica los parches de seguridad proporcionados por PrestaShop para mitigar esta vulnerabilidad. Además, revisa y ajusta adecuadamente los permisos de usuario y las políticas de acceso en tu tienda en línea para limitar el riesgo de escalada de privilegios.

7. CVE-2024-21627: Exposición de Datos Sensibles

• Descripción del Fallo: Este fallo podría permitir a los atacantes acceder y divulgar información confidencial almacenada en la tienda en línea, como nombres de usuario, contraseñas u otra información personal.
• Posible Solución: Actualiza tu instalación de PrestaShop a una versión que aborde esta vulnerabilidad específica. Además, implementa medidas adicionales de protección de datos, como el cifrado de datos sensibles y la gestión adecuada de accesos y permisos.

¡Recuerda mantén tu tienda en línea segura y protegida aplicando estas soluciones recomendadas y manteniéndote al tanto de las actualizaciones de seguridad proporcionadas por PrestaShop!

Si tienes alguna duda de como gestionar estos fallos, ponte en contacto 😉

Os dejo el link de incibe para que tengais más información: https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades