GS Vision
EN
Блог

PrestaShop security updates юни 2026: faceted search уязвимост и нови patch версии

На 3 юни 2026 г. PrestaShop публикува security advisory за модула ps_facetedsearch, а на 4 юни излязоха нови patch версии на core платформата — 9.1.4 и 8.2.7. Двете release-та са свързани: те включват допълнителни корекции и dependency updates, последвали разкритото за модула. Ако управлявате PrestaShop магазин с активен Faceted Search, тази статия описва точно какво трябва да направите и защо.

Какво се случи: уязвимостта в ps_facetedsearch

На 3 юни 2026 г. беше публикувана security advisory (GHSA-m5f5-28qr-9g9r) за официалния модул за фасетно търсене на PrestaShop.

Уязвимостта позволява изпълнение на произволен код на сървъра при специално конструирани HTTP заявки. Проблемът не изисква нито акаунт, нито автентикация — достатъчно е магазинът да е публично достъпен и да работи с уязвима версия на модула. Именно това го прави с висок приоритет за реакция.

Засегнати версии

Уязвимостта присъства в ps_facetedsearch от версия 3.0.0 до 4.0.3 включително, на всеки магазин, работещ с PrestaShop 1.7.1.0 или по-нова версия. Тъй като модулът е инсталиран по подразбиране в огромна част от PrestaShop инсталациите и не изисква вход за достъп, засегнатата база е значителна.

Корекцията: ps_facetedsearch v4.0.4

Фиксът е наличен в ps_facetedsearch v4.0.4, публикуван едновременно с advisory-то. Промяната е в един commit и затваря именно идентифицирания вектор на атака.

Актуализацията се прилага по стандартния начин от Back Office → Modules → проверка за налични обновления на Faceted Search. Ако обновлението не се вижда автоматично, модулът може да се изтегли директно от страницата с releases на GitHub и да се инсталира ръчно.

Новите core версии: 9.1.4 и 8.2.7

На 4 юни 2026 г. излязоха PrestaShop 9.1.4 и PrestaShop 8.2.7. Двете версии са maintenance releases за съответните активни клонове и включват:

  • актуализирани dependency-та, свързани с разкритата уязвимост в контекста на core;
  • допълнителни bug fixes в back office и front office, натрупани от предишния patch;
  • обновени Symfony компоненти (за клона 9.1.x).

Тези версии следват установения pattern на PrestaShop: когато излезе security advisory за широко разпространен модул, core releases следват в рамките на 24–48 часа с допълнителни защитни слоеве.

Хронология на security releases от май–юни 2026

За да се ориентирате по-добре, ето пълния контекст от последните седмици:

21 май 2026 — PrestaShop 9.1.3 Security maintenance release за клона 9.1. Включва обновяване на Symfony от 6.4.38 до 6.4.40 и Twig до 3.26.0 след координирани security advisories на upstream проектите от 20 май.

28 април 2026 — PrestaShop 9.1.1 и 8.2.6 Двата клона получиха критичен patch едновременно: Stored XSS уязвимост в изгледа Customer Service на Back Office (GHSA-w9f3-qc75-qgx9). Уязвимостта позволяваше инжектиране на злонамерен скрипт чрез съобщения от клиенти.

19 май 2026 — PrestaShop 9.1.2 Първият редовен maintenance release за клона 9.1 след security-only 9.1.1. Над петдесет merged pull requests от над двадесет contributors — bug fixes в back office, multishop management, catalog, и обновени Symfony компоненти.

4 юни 2026 — PrestaShop 9.1.4 и 8.2.7 Текущите releases, описани по-горе.

Как да проверите дали магазинът ви е бил атакуван

Обновяването затваря уязвимостта, но ако магазинът е работил с уязвима версия на ps_facetedsearch известно време, си струва да проверите дали не е бил таргетиран преди patch-а.

Влезте в сървъра чрез FTP или SSH и проверете за:

  • Непознати PHP файлове в директорията modules/ps_facetedsearch/ и поддиректориите й. Модулът идва с известен набор от файлове — всеки допълнителен .php файл, който не сте инсталирали, е предупредителен знак.
  • Необичайни записи в server access logs, особено повтарящи се или нестандартни заявки към пътища под modules/ps_facetedsearch/.

Страницата Advanced Parameters → Information в Back Office показва промени в core файлове, но тази проверка сама по себе си не е достатъчна.

Ако намерите нещо подозрително, не приемайте, че само обновяването на модула е достатъчно. Компрометиран магазин изисква пълно разследване, смяна на Back Office пароли и преглед на останалите модули и достъпи на сървъра.

Важно за нашите клиенти: Като част от нашата услуга за абонаментна поддръжка, екипът ни реагира веднага след публикуването на официалното предупреждение и актуализира уязвимия модул за всички наши редовни клиенти безплатно и в рамките на броени минути, за да гарантираме защитата на техните магазини.

Препоръчани стъпки

  1. Обновете ps_facetedsearch до v4.0.4 или по-нова версия.
  2. Обновете core до PrestaShop 9.1.4 (ако сте на клон 9.1.x) или 8.2.7 (ако сте на клон 8.2.x).
  3. Проверете директорията на модула и access logs за следи от активност преди patch-а.
  4. Направете пълен backup преди всяко обновление — на файлове и на база данни.

Обновяванията се правят с Update Assistant от Back Office или по стандартния Composer workflow за разработчици, работещи с версионирани инсталации.

FAQ

Трябва ли да обновя ps_facetedsearch, дори ако не ползвам фасетно търсене активно? Ако модулът е инсталиран и активиран, отговорът е да. Достатъчно е да присъства в modules/ps_facetedsearch/ и да е включен — дори да нямате конфигурирани филтри.

Засяга ли уязвимостта и PrestaShop 1.7 магазини? Да. Уязвимостта засяга всеки магазин с PrestaShop 1.7.1.0 или по-нова и ps_facetedsearch между 3.0.0 и 4.0.3.

Трябва ли само да обновя модула, или и core версията? Обновяването на модула до v4.0.4 затваря конкретната уязвимост. Core версиите 9.1.4 и 8.2.7 добавят допълнителни fixes и dependency updates — препоръчително е да ги приложите и тях.

Може ли да приложа fix ръчно, ако не мога да обновя сега? Да, официалният commit е публично достъпен. Промяната е в един файл. Третирайте я като временна мярка и планирайте пълното обновление до v4.0.4 в рамките на ден-два.

Източници