Une nouvelle mise à jour de sécurité vient d’être publiée pour PrestaShop. La version 8.2.3, disponible depuis le 4 septembre 2025, corrige une vulnérabilité dans la fonctionnalité de réinitialisation de mot de passe du back‑office, qui permettait à des attaquants de découvrir les adresses e‑mail des employés. Bien que jugée limitée, cette faille est aujourd’hui exploitée dans la nature, rendant la mise à jour indispensable pour tous les marchands encore sur la branche 8.2.x.
Ce qu'il faut retenir :
- Une faille permettait l’énumération d’e‑mails dans la page de réinitialisation du back‑office.
- PrestaShop 8.2.3 corrige définitivement le problème via une validation renforcée des paramètres.
- Les boutiques sous PrestaShop 9 ne sont pas concernés.
- Des mesures temporaires (VPN, URL masquée, 2FA, WAF) peuvent réduire les risques, mais seule la mise à jour règle le problème.
La vulnérabilité : une fuite d’e‑mails via la page de reset
Le problème affectait uniquement la branche 8.2.x, désormais en phase de support étendu. Sans authentification, un attaquant pouvait tester des combinaisons de paramètres (id_employee et reset_token) pour détecter quels comptes employés existaient et obtenir leur adresse e‑mail. Cette technique dite d’email énumeration ouvrait la voie à du phishing ciblé ou des tentatives d’accès ultérieures.
Le correctif introduit dans la 8.2.3 impose désormais :
- que l’identifiant employé et le jeton soient fournis conjointement ;
- que l’objet employé existe réellement ;
- que le jeton fourni corresponde exactement à celui enregistré en base.
En dehors de ce cas, aucune information n’est renvoyée par la page de réinitialisation.
Comment se protéger
La recommandation officielle est claire : mettre à jour en 8.2.3 ou appliquer le patch manuel fourni par PrestaShop si la migration n’est pas immédiate. Les administrateurs peuvent aussi limiter l’exposition aux attaques opportunistes avec plusieurs mesures complémentaires :
- restreindre l’accès au back‑office via VPN ou listes d’IP autorisées ;
- ajouter une couche d’authentification HTTP supplémentaire ;
- masquer ou personnaliser l’URL d’accès au back‑office ;
- activer un module de double authentification (2FA) pour les comptes employés ;
- surveiller les logs à la recherche de requêtes suspectes sur les paramètres reset_token ou id_employee.
Vers PrestaShop 9 : une sécurité renforcée
Les équipes rappellent que PrestaShop 9, basé sur Symfony 6.4 et un tout nouveau flux d’authentification, n’est pas touché par ce problème. Ce contexte confirme la feuille de route : la branche 8.2.x ne recevra plus désormais que des correctifs de sécurité, et les marchands doivent planifier leur migration vers la version 9 pour profiter des évolutions fonctionnelles et de son architecture durcie.
Articles complémentaires :
Faille critique dans LiteSpeed Cache : 5 millions de sites WordPress menacés
23 astuces pour optimiser le SEO d’une fiche produit (+ 14 idées à tester sans attendre)
Google Gemini : la faille qui a exposé des conversations privées au grand jour !
Les 7 addons PrestaShop indispensables pour optimiser votre e-commerce !
PrestaShop, Shopify, WooCommerce : Quels plugins SEO pour booster votre e-commerce ?
