Correctif de sécurité Sylius

L'équipe de Sylius a publié le 17 août 2020 une faille de sécurité majeure dans sa solution ecommerce Sylius qui permet à un hacker d'altérer les données de la base de données, jusqu'à leur effacement.

C'est donc une faille de sécurité majeure pour les ecommerce Sylius et nécessite une mise à jour immédiate.

CVE-2020-15143, c'est le nom de cette faille de sécurité Sylius

La faille est identifiée sous l'identifiant "CVE-2020-15143: Remote Code Execution in ParametersParser while using request parameters inside expression language", nous conseillons à tous les commerçant disposant d'un site sylius de vérifier et de mettre à jour leur projet.

Pratiquement toutes les versions de Sylius mises à jour avant le 18 août 2020 sont porteuses de cette faille, toutefois seuls ceux qui exploitent l'expression language dans les paramètres d'url - cela peut venir d'un plugin - sont réellement en danger.

Sylius a immédiatement publié les correctifs de sécurité à appliquer pour sécuriser les projets Sylius, à l'exception des versions les plus anciennes (antérieures à 1.3)

Nous avons effectué le nécessaire pour nos clients.

Comment savoir si mon site Sylius est sécurisé ?

Il y a concrètement 2 actions à mener qui permettent de corriger cette faille.

La première consiste à mettre à jour Sylius en appliquant la dernière version publiée par la core team.

La seconde si vous ne pouvez pas mettre à jour Sylius rapidement consiste à vérifier l'usage de l'expression language dans le routing de votre projet.

Nos experts Sylius sont disponible pour appliquer la mise à jour de sécurité de Sylius.