La seguridad de los comercios electrónicos ha sufrido una sacudida importante este año con el descubrimiento del CVE-2025-51586, una vulnerabilidad crítica de «Enumeración de Administradores». Este fallo, localizado en el AdminLoginController, afecta a un amplio rango de versiones, desde la 1.7 hasta la 8.2.2. Permite a atacantes remotos confirmar la existencia de direcciones de correo electrónico de empleados con acceso al panel de control mediante el análisis de las respuestas del sistema ante intentos de inicio de sesión. Como Expertos prestashop, alertamos de que este vector de ataque no es menor: conocer el email del administrador equivale a tener la mitad de la llave de entrada, facilitando enormemente ataques de fuerza bruta dirigidos o campañas de phishing (spear-phishing) altamente sofisticadas contra el personal de la tienda.
La mitigación inmediata no admite demoras. Por ello, la aplicación de parches de seguridad proactivos, incluidos en nuestros planes de Mantenimiento Prestashop, se ha convertido en la única barrera efectiva para impedir que los ciberdelincuentes cartografíen la estructura interna de usuarios de tu negocio digital y comprometan la administración.
Cerrando la puerta a ataques de fuerza bruta
La mecánica de esta vulnerabilidad reside en una respuesta inconsistente del servidor: el sistema arrojaba pistas sutiles (diferencias en tiempos de respuesta o mensajes de error) que permitían deducir si un email existía en la base de datos. Los atacantes utilizan scripts automatizados para probar miles de combinaciones hasta identificar cuentas reales. La solución definitiva requiere estandarizar estas respuestas para eliminar cualquier «feedback» al exterior. Aunque existen parches manuales («hotfixes»), la recomendación técnica oficial y más robusta es Actualizar Prestashop a la última versión estable parcheada (8.2.3 o superior).
Las nuevas versiones no solo corrigen este fallo de lógica en la autenticación, sino que endurecen las políticas de contraseñas e implementan límites estrictos de intentos de login (rate-limiting), creando un entorno mucho más hostil y seguro frente a cualquier intento de intrusión no autorizado.
"En ciberseguridad, la información es poder. Permitir que un atacante confirme qué emails tienen permisos de administrador es invitarle a concentrar todo su fuego en esos objetivos. La opacidad total del sistema de login es tu primera defensa."
Más allá del parche de software, este incidente subraya la necesidad crítica de activar la autenticación en dos pasos (2FA) para todos los empleados. Incluso si un atacante logra enumerar un email y vulnerar la contraseña, el segundo factor actúa como un muro infranqueable que protege los datos sensibles del negocio.
We didn’t invent the term “fools with tools.” Still, it’s a perfect definition for the practice of buying a stack of sophisticated cybersecurity technology that’s impossible to manage without an MSP or the budget of a Fortune 500 IT department.