Artykuł 04.06.2026 ~3 min czytania

Ważna aktualizacja zabezpieczeń modułu wyszukiwania z użyciem filtrów (ps_facetedsearch)

Zidentyfikowano lukę w zabezpieczeniach modułu wyszukiwania z użyciem filtrów. Zalecamy natychmiastową aktualizację do wersji 4.0.4, aby zabezpieczyć swój sklep.

Ważna aktualizacja zabezpieczeń modułu wyszukiwania z użyciem filtrów (ps_facetedsearch)
#prestashop #development #release

Na czym polega problem?

Wykryto lukę bezpieczeństwa w module ps_facetedsearch (Wyszukiwanie z filtrami). Pozwala ona na przetworzenie specjalnie spreparowanego żądania HTTP w niebezpieczny sposób, umożliwiając atakującemu wykonanie dowolnego kodu na serwerze — bez konieczności logowania się do sklepu.

Ze względu na powszechne stosowanie tego modułu do filtrowania produktów, aktualizacja jest klasyfikowana jako wysoki priorytet dla wszystkich merchantów.

⚠️
Dotknięte wersje: ps_facetedsearch 3.0.0 – 4.0.3 na PrestaShop 1.7.1.0 lub nowszym.
Poprawka: ps_facetedsearch 4.0.4 — zaktualizuj natychmiast.
Pełne advisory: GHSA-m5f5-28qr-9g9r

Jak zaktualizować?

1

Otwórz Menedżer modułów

W panelu administracyjnym przejdź do Moduły → Menedżer modułów i wyszukaj Wyszukiwanie z filtrami.

2

Zainstaluj aktualizację

Kliknij Aktualizuj, aby zainstalować wersję 4.0.4. Jeśli aktualizacja nie jest widoczna, pobierz moduł ręcznie i wgraj przez opcję Wgraj moduł.

Pobierz ps_facetedsearch v4.0.4

3

Zweryfikuj wersję

Po aktualizacji sprawdź, czy wersja modułu w panelu administracyjnym to 4.0.4 lub wyższa.

Jeśli nie możesz zaktualizować od razu

Jeśli jesteś zablokowany przez customizacje lub inne ograniczenia, możesz zastosować poprawkę bezpośrednio ze źródła. Poprawka zawarta jest w jednym commicie:

Zobacz commit z poprawką na GitHub →

⚠️
Uwaga: Ręczne zastosowanie commitu naprawia tylko tę konkretną lukę. Moduł pozostaje nieaktualny — pozbawiony innych poprawek i ulepszeń. Zaplanuj pełną aktualizację do v4.0.4 jak najszybciej.

Sprawdź oznaki włamania

Jeśli sklep korzystał z podatnej wersji, koniecznie zweryfikuj, czy nie doszło do nieautoryzowanego dostępu:

  • Sprawdź, czy nie ma nieoczekiwanych plików PHP w katalogu modules/ps_facetedsearch/.
  • Przejrzyj logi dostępu serwera pod kątem podejrzanych lub powtarzających się żądań do modułu.
  • Wejdź w Parametry zaawansowane → Informacje i sprawdź zmiany w plikach rdzenia.
🔍
Podejrzewasz włamanie? Sama aktualizacja modułu nie wystarczy. Sklep po kompromitacji wymaga dokładnego audytu: zmień hasła do panelu i bazy danych, sprawdź wszystkie moduły i dane dostępowe oraz skontaktuj się z ekspertem PrestaShop.

Dodatkowe zalecenia bezpieczeństwa

  • Web Application Firewall (WAF): Blokuje złośliwe żądania zanim trafią do sklepu. Cloudflare oferuje zarządzane reguły WAF.
  • Ograniczenie niebezpiecznych funkcji PHP: Wyłącz w php.ini funkcje takie jak exec, shell_exec, passthru, jeśli nie są potrzebne.
  • Regularne aktualizacje i kopie zapasowe: Utrzymuj rdzeń PrestaShop i wszystkie moduły w aktualnej wersji. Twórz automatyczne codzienne kopie zapasowe.
  • Monitoruj advisory bezpieczeństwa: Śledź advisory PrestaShop oraz Friends of Presta.

✅ Podsumowanie

Jeśli używasz ps_facetedsearch 3.0.0 – 4.0.3, zaktualizuj do v4.0.4 natychmiast. Sprawdź serwer pod kątem śladów włamania. Wdroż WAF i regularnie przeglądaj advisory bezpieczeństwa.


A
AddonsHub
Autor wpisu · AddonsHub