Prestashop vient de communiquer sur la correction d’une faille de sécurité dans la version 1.7.6.4. Cette faille est présente dans toutes les versions Prestashop depuis la version 1.7.0.0
Dans PrestaShop avant la version 1.7.6.4, lorsqu’un client modifie son adresse, il peut librement changer
l’id_address dans le formulaire, et ainsi voler l’adresse de quelqu’un d’autre. Il en va de même avec le
CustomerForm, vous pouvez changer l’id_client et modifier toutes les informations de tous les comptes
Vous pouvez faire la correction en mettant à jour votre boutique (via le 1 click upgrade).
Si vous ne voulez pas prendre de risques ! vous pouvez tout simplement modifier les fichiers mis à jour par
l’équipe Prestashop !
Les corrections sont expliquées ici en anglais:
- Checkout address edition is failing due to missing id_address in action #18073: https://github.com/PrestaShop/PrestaShop/pull/18073/commits/513e1312f94164fec90d5c8648459ccbbc73f517
5 classes à corriger
Deux options:
Vous pouvez modifier manuellement ces 5 classes.
Vous pouvez copier coller toutes les modifications:
ici!
Sinon vous pouvez tout simplement télécharger cette archive ou j’ai mis les 5 fichiers modifiés et la copier dans votre répertoire d’installation de Prestashop. Si vous n’avez pas fait de modifications dans le coeur de PS c’est le plus simple !
Attention si vous avez fait des « override » vous devrez corriger directement dans le dossier/override.
1 fiche template à modifier
Enfin vous devrez modifier votre dans template/thême le fichier
themes/classic/templates/checkout/ _partials/steps/addresses.tpl
Voila, votre site sera protégé !
Si vous avez un soucis, ou si vous avez peur de le faire n’hésitez pas à contacter l’agence InterAgilité qui pourra le faire pour vous.