Se ha detectado un fallo de seguridad que afecta a todas las versiones de Prestashop 1.4 que corren bajo PHP CGI, aunque el fallo está reportado desde Mayo de 2012 desconocemos si Prestashop a aplicado algún parche para corregirlo, por lo que lo primero antes de aplicarlo es comprobar si está corriendo el servidor en modo PHP-CGI, si queréis de todas formas protegerlo aunque no esté en este modo el fallo de seguridad es muy fácil de aplicar.
Mediante un consulta con una serie de parametros s, -d or –c, el fallo permitía ver el código fuente del index y ejecutar código con lo que el atacante podría obtener datos de usuarios, bloquear el sistema o ejecutar cualquier script.
http://www.dominio.com/index.php?-s
Para solucionar el problema bastaría con agregar unas nuevas reglas al archivo .httacces, que lo que hace es eliminar las peticiones que comiencen por “-“ y que contengas además un “=”.
- RewriteCond% {QUERY_STRING} ^ [^ =] * $
RewriteCond% {QUERY_STRING}% 2d | \ – [NC]
RewriteRule.? – [F, L]
Este fallo de seguridad , más que un fallo de seguridad de Prestashop , es un fallo de seguridad de PHP, habría que dejarlo claro, por lo que en otras plataformas es probable que ocurra lo mismo. De hecho en las versiones de PHP 5.4.3 y 5.3.13 que ha lanzado PHP se soluciona el problema, por lo que tampoco estaría de más actualizar las versiones de php que tenemos instaladas en nuestros servidores.
