El viernes Prestashop nos mandó, a los que estamos en su lista de correo, que se había descubierto un fallo de seguridad grave en su sistema. Y que, por lo tanto, todas las páginas que están funcionando con este sistema tienen esta vulnerabilidad y debe arreglarla lo antes posible.
Aquí podéis ver cómo funciona el ataque que aprovecha el fallo: https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites
Básicamente los atacantes usan inyecciones de SQL para poder poner un formulario de pago falso en tu página, normalmente en la parte del pago. Y así recopilar datos de tarjetas de crédito.
Qué se puede hacer para solucionar el problema.
Como siempre, lo importante es mantener tu web lo más actualizada posible, tanto el core de Prestashop como los módulos. Sabemos que esto no siempre es fácil en este gestor de contenidos, pero es importante.
Prestashop ha sacado esta mañana una nueva versión, un parche, que arregla los posibles vectores de ataques conocidos de este fallo (Prestashop 1.7.8.7) https://build.prestashop.com/news/prestashop-1-7-8-7-maintenance-release/ Actualiza en cuanto puedas.
Los desarrolladores de Prestashop han identificado que uno de las posibles (puede haber más) vectores de ataque en este caso es una funcionalidad poco usada de este sistema: MySQL Smarty cache. Mientras actualizas, puedes deshabilitar este sistema. Nosotros lo hicimos el viernes en todos nuestros clientes con PS.
Para ello tienes que ir al fichero config/smarty.config.inc.php y editarlo.
Ahí, entre las líneas 43-46 (PrestaShop 1.7) o 40-43 (PrestaShop 1.6), tienes el siguiente código que puedes comentar o quitar:
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}Guarda el fichero y súbelo, y ya tienes ese vector tapado.
Importante: esto es sólo para evitar que entren por este fallo. NO es suficiente si ya han entrado. Y no quita que tengas que actualizar todo por si hay otros vectores.
Cómo saber si te han afectado.
Esto debes hacerlo aunque soluciones el fallo antes mencionado. Es identificar si han usado el ataque en tu web. Busca en los registros a ver si encuentras el fichero
blm.phpque es un fichero que se crea durante el ataque. Si es así, estás “infectado” y deberías revisar los ficheros modificados que puedan tener código malicioso y reemplazarlos.
Os recomendamos los siguientes productos relacionados con la informática:
Pendrive USB Memoria USB 128GB,Pen Drive Pendrive USB C,Ultra Flair Flash Drive Pen Drive 128G Cuerpo Metálico,Pendrive Tipo C Memoria 2 en 1 para PC/Laptop/Computadora,Teléfono Móvil con USB-C
8,88 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
WD_BLACK SN850P 1TB, NVMe M.2 SSD Ampliación de Almacenamiento con Licencia Oficial para videoconsolas PS5, hasta 7300 MB/s, con disipador térmico
125,00 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Lenovo D24-45 - Monitor 24" FullHD (VA, 75Hz, 4ms, HDMI, VGA, Cable HDMI, FreeSync) Ajuste de inclinación - Negro
99,99 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
VEDINDUST Switch Ethernet 1 a 3 1000Mbps Aluminio Ethernet Splitter Ethernet Switch Gigabit RJ45 Splitter Duplicador RJ45 con Cable De Alimentación USB-C para Ordenadores, Routers, Decodificadores
28,99 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
SAMSUNG LS27CG552EUXEN - Monitor Curvo Gaming 27'' WQHD, 2560x1440, 16:9, 2500:1, 1000R, 165 Hz, 1 ms, 300 CD/m², HDMI, AMD FreeSync, Negro
243,37 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Memoria USB 982GB, alptte Pendrive Impermeable USB 3.0 Flash Drive Metal Pen Drive Mini USB Stick para Computadoras Almacenamiento de Datos, con Llavero
21,99 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
FACETEL Tablet 10 Pulgadas Android 13 Tablet Octa-Core 2.0 GHz, 12GB RAM 128GB ROM (1TB TF), 5G WiFi, Cámara 5MP+8MP, Bluetooth 5.0, 6000mAh, HD 1280 * 800, Facciale ID, Tableta con Funda - Oro Rosa
79,99 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Apple 2022 iPad de 10,9 Pulgadas (Wi-Fi, 64 GB) - en Amarillo (10.ª generación)
419,00 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
gaborlet Memoria USB 512GB Alta Velocidad 4 en 1 Pendrive C 512GB USB 3.0 Pen Drive Disco Duro Externo Memoria Externa para Smartphone PC Android
35,99 € (a partir de 24 abril, 2024 13:17 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)