Vulnerabilidad en Prestashop
Recientemente, desde la página oficial de Prestashop, se ha avisado de la existencia de un bug importante de seguridad en las últimas versiones, así como en ciertos módulos.
El problema no es directamente de Prestashop, si no de una dependencia del mismo llamada PHPUnit. Esta dependencia es una herramienta para realizar test del código desarrollado y permite a los programadores probar la operatividad del código en cada momento, ya sea al añadir una función o al modificar el código existente.
PHPUnit está instalado en numerosos proyectos, entre los que se incluye Prestashop. Se ha instalado hasta 150 millones de veces, aunque esto no significa que 150 millones de aplicaciones esten expuestas. El ataque es de tipo "inyección", lo que significa que es posible enviar un comando a un archivo determinado y conseguir que este lo ejecute. Para ello, un atacante debe tener acceso a dicho archivo, y en la mayoría de instalaciones no lo tiene. No es el caso de Prestashop, pues dada su naturaleza requiere que la carpeta de dependencias sea pública y quede expuesta.
Puedes ver más información sobre la incidencia aquí.