Aktualizacja Prestashop 8.2.5 już dostępna

Opublikowano 23/03/2026 00:00 i zmodyfikowano 31/03/2026 13:00.

To wydanie bezpieczeństwa dla gałęzi 8.2 usuwa dwie podatności: problem typu stored XSS w szablonach panelu administracyjnego (back office) oraz nieprawidłowe użycie frameworka walidacji.

Co zawiera to wydanie?

Kilka szablonów panelu administracyjnego (back office) zawierało zmienne, które nie były prawidłowo escapowane. Jest to podatność drugiego etapu (second-stage vulnerability): nie może zostać wykorzystana samodzielnie. Atakujący musiałby najpierw znaleźć inny sposób na wstrzyknięcie treści do bazy danych — na przykład poprzez ograniczony dostęp do panelu administracyjnego lub poprzez połączenie tej podatności z inną, istniejącą wcześniej luką. Dopiero wtedy wstrzyknięta treść mogłaby zostać wykonana w przeglądarce pracownika przeglądającego daną stronę.

Jeśli Twój sklep nie posiada innych znanych podatności, a dostęp do panelu administracyjnego jest odpowiednio zabezpieczony, praktyczne ryzyko jest niskie. Niemniej jednak, to wydanie zapewnia, że wszystkie istotne zmienne w szablonach back office są poprawnie sanityzowane, co zamyka te wektory XSS jako element podejścia typu defense-in-depth.

Druga poprawka dotyczy nieprawidłowego użycia frameworka walidacji. Choć została sklasyfikowana jako niskiego poziomu zagrożenia, wzmacnia ogólną warstwę walidacji danych wejściowych poprzez zapewnienie spójnego wykorzystania mechanizmu walidacji w całym kodzie.

Poprawki bezpieczeństwa

  • Stored XSS poprzez niechronione zmienne w szablonach back office (Poziom: wysoki 7.7/10)
    • Wiele podatności typu Cross-Site Scripting (CWE-79) w panelu administracyjnym: atakujący, który jest w stanie wstrzyknąć dane do bazy danych — poprzez ograniczony dostęp do back office lub wcześniej istniejącą podatność — może wykorzystać niechronione zmienne w szablonach panelu administracyjnego.
    • Identyfikator: GHSA-35pf-37c6-jxjv
  • Nieprawidłowe użycie frameworka walidacji (Poziom: niski 2.0/10)
    • Poprawka dotycząca nieprawidłowego użycia frameworka walidacji (CWE-1173).
    • Identyfikator: GHSA-283w-xf3q-788v

Oba problemy zostały również naprawione w wersji PrestaShop 9.1.0, wydanej równocześnie.

Aktualizacja do PrestaShop 8.2.5

Zaleca się aktualizację sklepu do wersji 8.2.5, szczególnie ze względu na wysoki poziom zagrożenia związany z podatnością typu stored XSS. Do przeprowadzenia aktualizacji możesz użyć modułu Update Assistant.

Zawsze pamiętaj o wykonaniu pełnej kopii zapasowej bazy danych oraz plików przed przystąpieniem do aktualizacji.

PrestaShop 9

Jeśli szukasz najnowszych funkcjonalności oraz bardziej nowoczesnej architektury, zachęcamy do zapoznania się z wersją PrestaShop 9.1. PrestaShop 9.1 wprowadza nowy domyślny motyw (Hummingbird 2.0), obsługę wielu przewoźników oraz przeprojektowany system rabatów, bazując na zmodernizowanych fundamentach wprowadzonych w PrestaShop 9. Już dziś zacznij planować migrację, aby skorzystać z najnowszych innowacji w ekosystemie PrestaShop.

Podziękowania

To wydanie bezpieczeństwa było możliwe dzięki współpracy zespołu maintainerów oraz ekspertów społeczności.

Chcielibyśmy podziękować @clotairer z 202 ecommerce za pomoc w przygotowaniu poprawek bezpieczeństwa zawartych w tym wydaniu.

Dziękujemy wszystkim, którzy przyczyniają się do utrzymania bezpieczeństwa PrestaShop!