PrestaShop, la falla nei filtri di ricerca che mette a rischio migliaia di negozi online

Se gestisci un negozio online su PrestaShop e usi il modulo di ricerca a facette (quello che mostra i filtri per prezzo, marca, colore nelle pagine delle categorie), devi controllare subito la versione installata. Una vulnerabilità critica nel modulo ps_facetedsearch consente a chiunque, senza password e senza account, di eseguire codice malevolo direttamente sul tuo server. La buona notizia: la correzione esiste, è gratuita e richiede pochi minuti.

Chi è coinvolto

Il modulo ps_facetedsearch è ufficiale e sviluppato direttamente da PrestaShop. È installato di default su una quota significativa di negozi PrestaShop in tutto il mondo, soprattutto quelli che usano versioni 1.7.1.0 e successive. La vulnerabilità non riguarda solo i grandi merchant: colpisce indiscriminatamente tutti gli installatori, dalle piccole botteghe ai marketplace di medie dimensioni.

Cosa è successo

Il modulo legge i parametri di filtro direttamente dall'URL della pagina, nella parte che segue il punto interrogativo. Un esempio di URL legittimo sarebbe /3-chaussures?q=Couleur-Noir/Marque-Nike&order=. Il problema è che il modulo non valida correttamente questi parametri prima di usarli. Un attaccante può quindi costruire un URL appositamente manipolato che sfrutta una SQL injection per eseguire comandi arbitrari nel database, o addirittura installare una webshell (un file malevolo che dà accesso totale al server).

Le versioni vulnerabili sono dalla 3.0.0 alla 4.0.3. La patch è disponibile nella versione 4.0.4, rilasciata da PrestaShop come aggiornamento di sicurezza critico. Non è richiesta alcuna autenticazione per sfruttare il difetto: chiunque visiti il tuo negozio potrebbe potenzialmente lanciare l'attacco.

Perché è importante

Una vulnerabilità di questo tipo è considerata critica per tre ragioni concrete:

1. Nessuna barriera d'accesso: a differenza di molti bug che richiedono un account admin o un login, questa falla è raggiungibile da chiunque. Un bot può provarla automaticamente su migliaia di negozi.

2. Impatto totale: se sfruttata, permette l'esecuzione di codice remoto. Significa che l'attaccante può rubare dati clienti (carte di credito, indirizzi), modificare i prezzi dei prodotti, redirigere i pagamenti, o installare malware persistente.

3. Diffusione ampia: il modulo è preinstallato e largamente usato. PrestaShop stesso ha classificato l'aggiornamento come "high-priority" proprio per questa ragione.

Questo non è un bug minore o una vulnerabilità teorica. È una porta aperta sul tuo negozio, e gli attaccanti la conoscono già.

Cosa aspettarsi

Azione immediata: accedi al tuo back office PrestaShop, vai su Moduli > Gestione moduli, cerca "Faceted Search" e verifica la versione. Se è inferiore a 4.0.4, aggiorna subito. Se l'aggiornamento non appare ancora nel pannello, puoi scaricarlo manualmente dal repository ufficiale e installarlo.

Dopo l'aggiornamento, conferma nel back office che la versione installata sia effettivamente 4.0.4 o superiore.

Se non puoi aggiornare immediatamente: PrestaShop consiglia di disabilitare o rimuovere il modulo finché non puoi applicare la patch. Questa è un'opzione temporanea ma necessaria se il tuo modulo è pesantemente personalizzato o se il tuo processo di rilascio è molto rigido. Tuttavia, l'aggiornamento rimane l'unica soluzione completa.

Indicatori da monitorare: dopo l'aggiornamento, controlla i log del tuo server per attività sospette (tentativi di SQL injection, file creati di recente in cartelle insolite). Se il tuo negozio è stato compromesso prima di applicare la patch, potresti trovare file webshell o tracce di accesso non autorizzato.

Prossimi passi della comunità: PrestaShop continuerà a monitorare segnalazioni di exploit in natura. Se scopri che il tuo negozio è stato colpito, segnalalo al team di sicurezza ufficiale e considera una revisione completa della sicurezza del tuo hosting.

La finestra di azione è ora. Non aspettare.