Alerte Sécurité : Faille CVE-2025-51586 détectée sur PrestaShop – Patch disponible

Une faille critique de sécurité à été découvertes, référencée CVE-2025-51586 affectant les boutiques PrestaShop. Cette vulnérabilité permet à des attaquants de contourner l’authentification administrative et potentiellement prendre le contrôle total de votre boutique en ligne.

Action immédiate requise : Tous les propriétaires de boutiques PrestaShop doivent appliquer notre patch de sécurité dès maintenant.

🔍 Description Technique de la Faille

Origine de la Vulnérabilité

La faille CVE-2025-51586 se situe dans le contrôleur AdminLoginController.php de PrestaShop, spécifiquement dans la fonctionnalité de réinitialisation de mot de passe.

Le code vulnérable expose dangereusement les informations d’authentification :

if ($reset_token = Tools::getValue('reset_token')) {
    $this->context->smarty->assign('reset_token', $reset_token);
}
if ($id_employee = Tools::getValue('id_employee')) {
    $this->context->smarty->assign('id_employee', $id_employee);
    $employee = new Employee($id_employee);
    if (Validate::isLoadedObject($employee)) {
        $this->context->smarty->assign('reset_email', $employee->email);
    }
}

Le Problème

1. Absence de validation du token : Le système accepte n’importe quel token sans vérification
2. Exposition d’informations sensibles : Les emails des administrateurs sont révélés sans authentification
3. Énumération des comptes : Un attaquant peut découvrir tous les comptes administrateurs

Impact Immédiat

• Prise de contrôle administrative : Accès complet au back-office
• Vol de données clients : Informations personnelles, adresses, historique d’achats
• Compromission financière : Accès aux données de paiement et commandes
• Manipulation des produits : Modification des prix, stocks, descriptions

Risques à Long Terme

• Atteinte à la réputation : Perte de confiance des clients
• Sanctions légales : Non-conformité RGPD, amendes potentielles
• Pertes financières : Chiffre d’affaires impacté, coûts de récupération
• Blacklistage SEO : Déréférencement par les moteurs de recherche

Versions Affectées

• ✅ PrestaShop 1.7.x : Toutes versions
• ✅ PrestaShop 8.x : Jusqu’à 8.2.2 

Télécharger un patch pour votre boutique

1. Téléchargement : Télécharger le patch EC-CVE-2025-51586
2. Installation : Uploader le module dans votre backoffice
3. Activation : Installer le module depuis l’interface d’administration
4. Application : Le patch s’applique automatiquement lors de l’installation
5. Vérification : Contrôler que le message de succès s’affiche

Bonnes Pratiques

• ✅ Mots de passe administrateurs complexes et uniques
• ✅ Authentification à deux facteurs (2FA) (Module disponible ici )
• ✅ Limitation d’accès par IP pour l’administration
• ✅ Sauvegardes automatisées et testées régulièrement
• ✅ Monitoring des fichiers système
• ✅ Avoir un nom de répertoires admin impossible à deviner

La faille CVE-2025-51586 représente un risque critique immédiat pour toutes les boutiques PrestaShop. Chaque minute de retard augmente l’exposition aux attaques.