Vulnerabilidad crítica en el módulo checkout de PrestaShop desarrollado en colaboración con PayPal.
Se ha detectado una falta de validación en el módulo PrestaShop Checkout, concretamente en la funcionalidad de compra rápida o “Express Checkout”, que podría permitir inicios de sesión no autorizados y derivar en el robo de cuentas mediante correo electrónico.
En otras palabras, un atacante podría acceder a una cuenta de cliente sin credenciales válidas, pudiendo ver o modificar datos personales, realizar pedidos o cambiar direcciones de envío.
Por este motivo, se trata de una vulnerabilidad crítica que requiere una acción inmediata.
Solución
- Actualizar el módulo PrestaShop Checkout a la versión 4.4.1 o 5.0.5 (o superior).
2. Mientras no sea posible actualizar, desactivar temporalmente la función de “Express Checkout” para evitar la exposición.
Tareas adicionales recomendadas en tu eCommerce
- Si se sospecha de algún ataque: cerrar las sesiones activas y obligar a restablecer las contraseñas de las cuentas potencialmente afectadas.
- Activar la autenticación en dos pasos (2FA) para los administradores.
- Revisar los registros (logs) y la actividad reciente en busca de comportamientos sospechosos:
- Cambios en direcciones de envío.
- Pedidos de alto valor.
- Compras desde cuentas inactivas durante largo tiempo.
- Compras de alto valor en cuentas nuevas.
