Publié le 17 novembre 2020

Nouvelle Mise à jour de sécurité pour toutes les versions de PrestaShop

Mise à jour de sécurité PrestaShop 1.7.6.9

PrestaShop vient de diffuser une nouvelle version mineure de sécurité de la branche 1.7 avec l'archive 1.7.6.9.

Il est indispensable de faire cette mise à jour rapidement pour sécuriser votre installation PrestaShop si vous avez l'option permettant aux clients de re-commander une ancienne commande d'activée.

Présentation de la faille de sécurité sur PrestaShop

Cette faille de sécurité fut signalée sur la plateforme Github.com/PrestaShop

Elle concerne toutes les versions de PrestaShop à compter de la version 1.4.10.0 jusqu'à la version 1.7.6.8 puisque la version 1.7.6.9 apporte le correctif.

Cette faille est très rapide à corriger si vous savez manier un éditeur FTP et éditeur de texte.

Correction PrestaShop 1.7

Si vous utilisez une version 1.7.6.x vous pouvez faire la mise à jour à l'aide du module 1-click upgrade qui ne devrait pas provoquer de soucis. Sinon, voici le correctif à appliquer sur votre boutique.

Ce correctif est à appliquer dans le fichier controllers/front/OrderController.php.

remplacez la ligne

         if (Tools::isSubmit('submitReorder') && $id_order = (int)Tools::getValue('id_order')) {

par

        if (Tools::isSubmit('submitReorder')
            && $this->context->customer->isLogged()
            && $id_order = (int)Tools::getValue('id_order')
        ) {

Correction PrestaShop 1.6 et Thirtybees

Pour les versions 1.6 et aussi 1.5 de PrestaShop ou encore Thirtybees, le correctif est aussi simple mais ne se passe pas exactement au même endroit.

Ce correctif est à appliquer dans le fichier controllers/front/ParentOrderController.php.

Remplacez la ligne

         if (Tools::isSubmit('submitReorder') && $id_order = (int)Tools::getValue('id_order')) {

par

        if (Tools::isSubmit('submitReorder')
            && $this->context->customer->isLogged()
            && $id_order = (int)Tools::getValue('id_order')
        ) {

Aide

Si vous estimez devoir faire appel à mes services pour mettre en oeuvre le correctif, n'hésitez pas à prendre un ticket d'intervention en me précisant en commentaire de la commande votre besoin.

Pour tout autre question n'hésitez pas à laisser un commentaire en bas ou à me contacter directement.