El lunes 10 de Agosto de 2015 se ha publicado una actualización de seguridad que afecta a varias versiones de prestashop. 

Esta actualización corrige un defecto de forma en el código, que te explicamos más adelante. No obstante, han desarrollado un módulo que aplica la actualización en las últimas 3 versiones. Cabe destacar que Prestashop sólo garantiza que dicho módulo funcione en la última subversión de cada versión (la última estable publicada).

El defecto radica en una herramienta encargada de generar una contraseña aleatoria. Esto sucede cuando un usuario solicita una nueva contraseña porque la ha olvidado. El problema es que en el ámbito informático no existe el azar, y por tanto, cualquier número aleatorio que se genere siempre va a responder a un patrón, y la nueva contraseña se generaba con un simple patrón de letras y números “aleatorios”. Con lo que un usuario que fuera capaz de reproducir el patrón, podría introducir el email de un cliente, solicitar una nueva contraseña y acceder calculando la nueva contraseña generada. El riesgo es muy leve, dado que el usuario malintencionado no sólo debe tener conocimientos de programación e informática avanzada, sino que además requiere altos conocimientos de matemática y además requiere saber al menos una dirección de correo electrónico registrada en la tienda.

Más información: Parche de seguridad Prestashop