PrestaShop 9.1.1 Ora Disponibile: Aggiornamento Critico di Sicurezza

PrestaShop ha ufficialmente rilasciato la versione 9.1.1, che include una patch di sicurezza critica per il ramo 9.1. Questo aggiornamento affronta una vulnerabilità di Cross-Site Scripting (XSS) memorizzata trovata nella vista del Servizio Clienti del back office (Identificatore: GHSA-w9f3-qc75-qgx9). Data la gravità di questo problema, si raccomanda vivamente a tutti gli utenti di aggiornare le proprie installazioni il prima possibile.

Dettagli della Correzione di Sicurezza

La vulnerabilità è stata classificata come Critica con un punteggio di gravità di 9.3/10 (CWE-79). I dettagli tecnici completi riguardanti il vettore di attacco sono documentati nell'avviso di sicurezza. Inoltre, questo problema è stato affrontato anche nella versione PrestaShop 8.2.6, rilasciata simultaneamente.

Come Aggiornare a PrestaShop 9.1.1

Si raccomanda vivamente di aggiornare il tuo negozio PrestaShop alla versione 9.1.1. Puoi utilizzare l'Assistente all'Aggiornamento per un processo di aggiornamento senza problemi. Prima di procedere con l'aggiornamento, assicurati di creare un backup completo del tuo database e dei tuoi file.

Se non puoi aggiornare immediatamente, ci sono due metodi alternativi per mitigare la vulnerabilità:

Opzione 1: Installa il Modulo di Correzione

Scarica l'ultima versione del modulo di correzione pshotfix_ghsaw9f3qc75qgx9 e carica il file ZIP tramite Moduli > Gestore Moduli > Carica un Modulo. Questo modulo eseguirà automaticamente un backup del modello vulnerabile e applicherà la correzione necessaria. È compatibile con le versioni di PrestaShop 1.7, 8.x e 9.x.

Opzione 2: Applica la Correzione Manualmente (Utenti Avanzati)

Per coloro che si sentono a proprio agio con il codice, la correzione consiste in due parti:

Parte 1: Escape dell'Email nel Modello dei Thread Clienti

La vulnerabilità deriva dal rendering di un valore di email di un thread cliente nel back office senza escape HTML. Per risolvere questo problema, localizza il file:

{YOUR_ADMIN_DIR}/themes/default/template/controllers/customer_threads/helpers/view/view.tpl

Sostituisci le occorrenze di {$thread->email} con:

{$thread->email|escape:'html':'UTF-8'}

Parte 2: Rafforzare la Validazione dell'Email in `classes/Validate.php`

Modifica il metodo isEmail() in classes/Validate.php per passare dalla modalità 'lenta' alla modalità 'rigida' per la validazione delle email. Questa modifica aiuterà a rifiutare formati di email potenzialmente dannosi prima che vengano memorizzati.

Scarica PrestaShop 9.1.1

Puoi scaricare PrestaShop 9.1.1 ora!