Команда PrestaShop выпустила обновление безопасности для модуля Многоуровневая навигация (ps_facetedsearch). Владельцам магазинов рекомендуется как можно скорее обновить модуль до версии 4.0.4, поскольку устранённая уязвимость имеет высокий уровень критичности.
Суть проблемы
В модуле была обнаружена уязвимость, которая при определённых условиях позволяет злоумышленнику отправлять специально сформированные запросы и выполнять несанкционированный код на сервере.
Особую опасность представляет тот факт, что для эксплуатации уязвимости не требуется авторизация в административной панели или наличие учётной записи. Любой магазин, использующий уязвимую версию модуля, потенциально подвержен атаке.
Какие версии затронуты
Проблема затрагивает версии ps_facetedsearch от 3.0.0 до 4.0.3 включительно на магазинах, работающих под управлением PrestaShop 1.7.1.0 и выше.
Исправление доступно в версии 4.0.4.
Учитывая широкое распространение модуля среди магазинов PrestaShop и отсутствие необходимости в аутентификации для проведения атаки, обновление следует считать приоритетным для всех пользователей Faceted Search.
Что необходимо сделать
Если в вашем магазине используется модуль Faceted Search:
- Перейдите в раздел «Модули» административной панели.
- Проверьте наличие обновлений для Faceted Search.
- Выполните обновление до версии 4.0.4.
- После завершения убедитесь, что установленная версия модуля отображается как 4.0.4 или выше.
Если обновление пока недоступно через Back Office, рекомендуется установить актуальный релиз вручную из официального репозитория PrestaShop.
Если обновление невозможно установить немедленно
В некоторых проектах модуль может содержать индивидуальные доработки или использоваться в рамках сложного процесса релизов. В таких случаях разработчики PrestaShop предоставили исправление в виде отдельного коммита, который можно применить вручную.
Однако такой подход следует рассматривать исключительно как временную меру. Полноценным решением остаётся переход на версию 4.0.4, поскольку она содержит не только исправление уязвимости, но и другие накопленные улучшения и исправления.
Рекомендуется проверить магазин на признаки компрометации
Если магазин длительное время работал на одной из уязвимых версий, имеет смысл провести дополнительную проверку безопасности.
Следует обратить внимание на:
- наличие неизвестных PHP-файлов в каталоге
modules/ps_facetedsearch/; - подозрительные запросы в логах веб-сервера, связанные с модулем;
- любые изменения файлов, происхождение которых невозможно объяснить штатной работой магазина.
При обнаружении признаков взлома одного обновления будет недостаточно. Необходимо провести полноценный аудит безопасности, очистить систему и сменить административные пароли после завершения проверки.
Дополнительные меры защиты
Помимо обновления модуля, специалисты PrestaShop рекомендуют:
- использовать Web Application Firewall (WAF);
- ограничить выполнение потенциально опасных PHP-функций (
exec,system,shell_exec,passthru,proc_open,popenи других); - своевременно обновлять ядро PrestaShop и все установленные модули;
- регулярно создавать резервные копии файлов и базы данных;
Если ваш магазин использует ps_facetedsearch версии 3.0.0 или выше, обновление до версии 4.0.4 следует выполнить без промедления.
Уязвимость позволяет проводить атаки без авторизации и потенциально может привести к выполнению произвольного кода на сервере. Дополнительно рекомендуется проверить систему на наличие следов несанкционированной активности и усилить общие меры защиты инфраструктуры.