^

Faille de sécurité importante dans le module Prestashop Ap Page Builder

Une faille de sécurité très importante a été découverte dans le module Ap Page Builder

Le module Ap Page Builder (appagebuilder) est un module qui permet de gérer la mise en page des sites sous Prestashop, un peu à la manière d’Elementor (mais en moins moderne).  Il est utilisable en module seul (sur la plateforme addons) ou bien souvent embarqué dans des thèmes (principalement LeoThemes et AppoloTheme).

Ecran Ap Page Builder module Prestashop

 

Gravité de la faille de sécurité

Cette faille est très importante car elle permet potentiellement à l’attaquant de récupérer l’intégralité de la base de données ! Il vous est donc très fortement conseillé de mettre à jour le module ou d’appliquer le patch. Les versions concernées sont celles inférieures à 4.0.0 du module.

Correctif

La mise à jour est disponible directement sur addons si vous disposiez d’un contrat de mise à jour, ou via un patch du code si le module était intégré à un thème.

Patch du code

Fichier concerné modules/appagebuilder/classes/shortcodes/ApProductList.php

Code à modifier

$apPConfig['product_item_path'] = $assign['product_item_path'];

par

Context::getContext()->cookie->{'productItemPathApProductList_'.$assign['formAtts']['form_id']} = $assign['product_item_path'];

et

$assign['product_item_path'] = $input->product_item_path;

par

$assign['product_item_path'] = Context::getContext()->cookie->{'productItemPathApProductList_'.$input->form_id};

 

Si vous avez un doute ou n’avez pas les compétences pour réaliser ce patch vous pouvez nous contacter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.