En los últimos días, PrestaShop ha confirmado una vulnerabilidad de seguridad crítica que afecta a miles de tiendas online. Te contamos qué ha pasado, cómo te afecta y qué debes hacer para proteger tu negocio.
🔍 ¿Qué ha ocurrido?
Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el panel de administración de PrestaShop, identificada como CVE-2026-44212, con una puntuación de gravedad de 9.3 sobre 10 (Crítica) en el sistema CVSS.
El fallo fue reportado por el investigador Savio de Doyensec en colaboración con Anthropic Research, y ha sido publicado oficialmente a través del GitHub Security Advisory (GHSA-w9f3-qc75-qgx9).
🎯 ¿Cómo funciona el ataque?
La vulnerabilidad es especialmente peligrosa porque el atacante no necesita tener una cuenta en tu tienda.
El vector de ataque es el siguiente:
- El atacante accede al formulario público de "Contacto" de tu tienda.
- Introduce una dirección de correo electrónico que contiene código HTML/JavaScript malicioso.
- El código se almacena silenciosamente en tu base de datos.
- Cuando tú o tu equipo abrís ese hilo en la sección de Atención al Cliente del back-office, el código malicioso se ejecuta automáticamente en el navegador del administrador.
Una vez ejecutado, el atacante puede robar la sesión del administrador, tomar el control total del panel de control y realizar cualquier acción: robar datos de clientes, modificar precios, instalar módulos maliciosos o incluso desviar los pagos de tu tienda.
⚙️ Versiones afectadas
Las versiones de PrestaShop vulnerables son:
- Todas las versiones anteriores a la 8.2.6
- Todas las versiones desde la 9.0.0 hasta la 9.1.0 (ambas incluidas)
Las versiones seguras son la 8.2.6 y la 9.1.1, que incluyen el parche oficial de seguridad.
🛡️ ¿Qué debes hacer?
✅ Solución recomendada: Actualizar tu tienda
La opción más segura es actualizar tu PrestaShop a la versión 8.2.6 o 9.1.1, según la rama que estés utilizando. Estas versiones corrigen completamente la vulnerabilidad tanto en la visualización como en la validación de los datos de entrada.
Si tienes dudas sobre cómo realizar la actualización, en Hepta Technologies podemos ayudarte a hacerlo de forma segura, minimizando cualquier riesgo de incompatibilidad con tu temática o módulos personalizados.
🧩 Soluciones alternativas
Si por el momento no puedes actualizar toda la tienda, he publicado en el blog de EasyPresta cómo aplicar el parche de seguridad manual paso a paso, incluyendo las diferencias por versiones de PrestaShop, puedes consultar nuestro artículo detallado en el blog de EasyPresta:
👉 Artículo completo: Alerta crítica en PrestaShop (CVE-2026-44212)
En él encontrarás una explicación completa de la vulnerabilidad, el código vulnerable, el parche oficial y una guía para aplicar la corrección manualmente en cada versión de PrestaShop.
📞 ¿Necesitas ayuda?
En Hepta Technologies estamos monitorizando esta vulnerabilidad desde el primer momento. Si tu tienda está afectada y prefieres que nos encarguemos de la actualización o de aplicar el parche por ti, no dudes en contactarnos.
Referencias oficiales: INCIBE | GitHub Advisory (GHSA-w9f3-qc75-qgx9) | PrestaShop 8.2.6 | PrestaShop 9.1.1