Si vous utilisez le module de navigation à facettes de Prestashop (ps_facetedsearch), vous devez agir maintenant. Le 3 juin 2026, l’équipe Prestashop a publié une alerte de sécurité officielle sur une vulnérabilité critique affectant ce module très répandu. La version corrigée (v4.0.4) est disponible, et la mise à jour est impérative pour toutes les boutiques concernées.
Quelle est la nature de cette faille ?
La vulnérabilité est référencée sous l’advisory de sécurité GHSA-m5f5-28qr-9g9r. Elle permet, dans certaines conditions, l’exécution de code arbitraire sur le serveur via des requêtes HTTP spécialement construites. Le point le plus critique : aucune authentification n’est nécessaire. N’importe quel visiteur anonyme peut potentiellement déclencher l’exploit sur une boutique vulnérable exposée sur internet.
Concrètement, un attaquant qui exploite cette faille peut :
- Exécuter des commandes sur votre serveur
- Accéder à votre base de données (commandes, données clients, informations de paiement)
- Installer une backdoor pour un accès futur persistant
- Injecter du code malveillant dans vos pages (skimming de cartes bancaires)
- Supprimer ou chiffrer des fichiers (ransomware)
Quelles versions sont affectées ?
La faille concerne ps_facetedsearch versions 3.0.0 à 4.0.3 incluse, sur toute boutique tournant sous Prestashop 1.7.1.0 ou supérieur. Cela représente une grande majorité des boutiques Prestashop actives en 2026. La version 4.0.4 apporte le correctif complet.
Pour vérifier votre version actuelle, allez dans Back Office → Modules → Module Manager et cherchez « Faceted Search » ou « Navigation à facettes ». Le numéro de version est affiché dans la fiche du module.
Comment mettre à jour ps_facetedsearch ?
La mise à jour est disponible directement depuis votre back-office Prestashop. Dans le Module Manager, si une mise à jour est disponible pour le module Faceted Search, un bouton « Mettre à jour » apparaît. Cliquez dessus et confirmez.
Si la mise à jour n’apparaît pas automatiquement, vous pouvez télécharger la version 4.0.4 directement depuis la page de releases GitHub de ps_facetedsearch et l’installer manuellement via le bouton « Installer un module » du Module Manager.
Après la mise à jour, vérifiez que la version affichée est bien 4.0.4 ou supérieure.
Et si je ne peux pas mettre à jour immédiatement ?
L’idéal est de mettre à jour sans délai. Cependant, si votre module a été fortement personnalisé et qu’une mise à jour directe risque de casser des fonctionnalités, notre équipe peut appliquer le correctif de sécurité ciblé (le fix est contenu dans un seul commit) sans mettre à jour l’intégralité du module. Cette approche préserve vos personnalisations tout en fermant la faille.
Dans tous les cas, en attendant d’agir, il est recommandé de surveiller les logs d’accès de votre serveur et les fichiers récemment modifiés dans le répertoire modules/ps_facetedsearch/.
Pourquoi ce type de faille arrive-t-il sur un module officiel ?
ps_facetedsearch est l’un des modules les plus complexes de l’écosystème Prestashop : il génère des requêtes SQL dynamiques à partir des filtres sélectionnés par les visiteurs. C’est précisément cette complexité qui le rend plus difficile à sécuriser. Toute entrée utilisateur qui alimente une requête SQL est un risque potentiel si elle n’est pas correctement filtrée et échappée.
C’est aussi pourquoi une maintenance régulière de votre boutique Prestashop est indispensable : les mises à jour de sécurité ne peuvent pas attendre des semaines. Dans le cadre de nos contrats de maintenance, nous surveillons les alertes de sécurité de l’écosystème Prestashop et appliquons les correctifs critiques en priorité, sans que vous ayez à vous en préoccuper.
Si vous avez un doute sur l’état de sécurité de votre boutique ou si vous pensez avoir été compromis, contactez-nous via notre support Prestashop d’urgence pour un diagnostic rapide.
Besoin d’un expert Prestashop près de chez vous ?
Mon Assistance Prestashop intervient à distance pour les e-commerçants de toute la région Auvergne-Rhône-Alpes : Lyon, Saint-Étienne, Valence, Vienne, Annonay et Félines. Maintenance, dépannage et support 7j/7.