Luka nie wymaga uwierzytelnienia i może prowadzić do wykonania obcego kodu na serwerze. Zaktualizuj do
v4.0.4 natychmiast.
Na czym polega problem?
Wykryto lukę bezpieczeństwa w module ps_facetedsearch (Wyszukiwanie z filtrami). Pozwala ona na przetworzenie specjalnie spreparowanego żądania HTTP w niebezpieczny sposób, umożliwiając atakującemu wykonanie dowolnego kodu na serwerze — bez konieczności logowania się do sklepu.
Ze względu na powszechne stosowanie tego modułu do filtrowania produktów, aktualizacja jest klasyfikowana jako wysoki priorytet dla wszystkich merchantów.
ps_facetedsearch 3.0.0 – 4.0.3 na PrestaShop 1.7.1.0 lub nowszym.Poprawka:
ps_facetedsearch 4.0.4 — zaktualizuj natychmiast.Pełne advisory: GHSA-m5f5-28qr-9g9r
Jak zaktualizować?
Otwórz Menedżer modułów
W panelu administracyjnym przejdź do Moduły → Menedżer modułów i wyszukaj Wyszukiwanie z filtrami.
Zainstaluj aktualizację
Kliknij Aktualizuj, aby zainstalować wersję 4.0.4. Jeśli aktualizacja nie jest widoczna, pobierz moduł ręcznie i wgraj przez opcję Wgraj moduł.
Zweryfikuj wersję
Po aktualizacji sprawdź, czy wersja modułu w panelu administracyjnym to 4.0.4 lub wyższa.
Jeśli nie możesz zaktualizować od razu
Jeśli jesteś zablokowany przez customizacje lub inne ograniczenia, możesz zastosować poprawkę bezpośrednio ze źródła. Poprawka zawarta jest w jednym commicie:
Zobacz commit z poprawką na GitHub →
v4.0.4 jak najszybciej.Sprawdź oznaki włamania
Jeśli sklep korzystał z podatnej wersji, koniecznie zweryfikuj, czy nie doszło do nieautoryzowanego dostępu:
- Sprawdź, czy nie ma nieoczekiwanych plików PHP w katalogu
modules/ps_facetedsearch/. - Przejrzyj logi dostępu serwera pod kątem podejrzanych lub powtarzających się żądań do modułu.
- Wejdź w Parametry zaawansowane → Informacje i sprawdź zmiany w plikach rdzenia.
Dodatkowe zalecenia bezpieczeństwa
- Web Application Firewall (WAF): Blokuje złośliwe żądania zanim trafią do sklepu. Cloudflare oferuje zarządzane reguły WAF.
- Ograniczenie niebezpiecznych funkcji PHP: Wyłącz w
php.inifunkcje takie jakexec,shell_exec,passthru, jeśli nie są potrzebne. - Regularne aktualizacje i kopie zapasowe: Utrzymuj rdzeń PrestaShop i wszystkie moduły w aktualnej wersji. Twórz automatyczne codzienne kopie zapasowe.
- Monitoruj advisory bezpieczeństwa: Śledź advisory PrestaShop oraz Friends of Presta.
✅ Podsumowanie
Jeśli używasz ps_facetedsearch 3.0.0 – 4.0.3, zaktualizuj do v4.0.4 natychmiast. Sprawdź serwer pod kątem śladów włamania. Wdroż WAF i regularnie przeglądaj advisory bezpieczeństwa.