Spett.le Visitatore,

in data 22/07/2022 sono stati effettuati sul Suo sito web, gli aggiornamenti di sicurezza suggeriti per Prestashop a seguito della scoperta di uno 0-day (vulnerabilità per la quale non è stata ancora rilasciata una patch ufficiale).

Le versioni vulnerabili sono quella dalla versione 1.6.0.10. Le versioni che non espongono la vulnerabilità sono quelle successive alla 1.7.8.2.

La vulnerabilità consente, a valle di una SQL injection, di prendere il controllo si sito ed iniettare un modulo di pagamento fake che consente ai criminali di prelevare i dati delle carte di credito degli acquirenti, probabilmente per rivenderle poi sul dark web.

Un passaggio fondamentale nello schema di attacco è passare per la cache Smarty su MySQL.

Netlogica ha quindi eliminato completamente le seguenti righe di codice dal file: config/smarty.config.inc.php

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}

Inoltre a valle della modifica per la messa in sicurezza del file, sono stati concessi permessi di sola lettura al file smarty.config.inc.php (chmod 444).

Questo in attesa che venga rilasciata la patch ufficiale da Prestashop.