PrestaShop 9.1.1 Ahora Disponible: Actualización Crítica de Seguridad

PrestaShop ha lanzado oficialmente la versión 9.1.1, que incluye un parche crítico de seguridad para la rama 9.1. Esta actualización aborda una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que se encontró en la vista de Servicio al Cliente del back office (Identificador: GHSA-w9f3-qc75-qgx9). Dada la gravedad de este problema, se recomienda encarecidamente a todos los usuarios que actualicen sus instalaciones lo antes posible.

Detalles de la Corrección de Seguridad

La vulnerabilidad ha sido clasificada como Crítica con un puntaje de gravedad de 9.3/10 (CWE-79). Los detalles técnicos completos sobre el vector de ataque están documentados en el aviso de seguridad. Además, este problema también se ha abordado en la versión PrestaShop 8.2.6, que se lanzó simultáneamente.

Cómo Actualizar a PrestaShop 9.1.1

Se recomienda encarecidamente actualizar su tienda PrestaShop a la versión 9.1.1. Puede utilizar el Asistente de Actualización para un proceso de actualización sin problemas. Antes de proceder con la actualización, asegúrese de crear una copia de seguridad completa de su base de datos y archivos.

Si no puede actualizar de inmediato, hay dos métodos alternativos para mitigar la vulnerabilidad:

Opción 1: Instalar el Módulo de Corrección

Descargue la última versión del módulo de corrección pshotfix_ghsaw9f3qc75qgx9 y cargue el archivo ZIP a través de Módulos > Administrador de Módulos > Cargar un módulo. Este módulo realizará automáticamente una copia de seguridad de la plantilla vulnerable y aplicará la corrección necesaria. Es compatible con las versiones de PrestaShop 1.7, 8.x y 9.x.

Opción 2: Aplicar la Corrección Manualmente (Usuarios Avanzados)

Para aquellos que se sientan cómodos con el código, la corrección consta de dos partes:

Parte 1: Escapar el Correo Electrónico en la Plantilla de Hilos de Clientes

La vulnerabilidad surge del renderizado de un valor de correo electrónico de hilo de cliente en el back office sin escapar HTML. Para solucionar esto, localice el archivo:

{YOUR_ADMIN_DIR}/themes/default/template/controllers/customer_threads/helpers/view/view.tpl

Reemplace las ocurrencias de {$thread->email} con:

{$thread->email|escape:'html':'UTF-8'}

Parte 2: Endurecer la Validación de Correos Electrónicos en `classes/Validate.php`

Modifique el método isEmail() en classes/Validate.php para cambiar de modo 'suave' a 'estricto' para la validación de correos electrónicos. Este cambio ayudará a rechazar formatos de correo electrónico potencialmente dañinos antes de que sean almacenados.

Descargar PrestaShop 9.1.1

¡Puede descargar PrestaShop 9.1.1 ahora!