{"id":9309,"date":"2026-06-04T11:44:07","date_gmt":"2026-06-04T09:44:07","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=9309"},"modified":"2026-06-04T11:44:09","modified_gmt":"2026-06-04T09:44:09","slug":"vulnerabilidad-en-prestashop-modulo-faceted-search","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/vulnerabilidad-en-prestashop-modulo-faceted-search\/","title":{"rendered":"Vulnerabilidad en PrestaShop: c\u00f3mo solucionar el fallo del m\u00f3dulo Faceted Search"},"content":{"rendered":"\n

El m\u00f3dulo Faceted Search de PrestaShop<\/strong>, tambi\u00e9n conocido por su nombre t\u00e9cnico ps_facetedsearch<\/code><\/strong>, ha sido se\u00f1alado por una vulnerabilidad de seguridad importante. Y no, no hablamos del t\u00edpico aviso menor que puedes dejar \u201cpara cuando tenga un rato\u201d: seg\u00fan el propio proyecto PrestaShop, bajo ciertas condiciones, peticiones manipuladas podr\u00edan ser procesadas de forma insegura por el m\u00f3dulo y llegar a permitir ejecuci\u00f3n de c\u00f3digo no autorizado en el servidor<\/strong>, sin necesidad de cuenta ni autenticaci\u00f3n.<\/p>\n\n\n\n

Mi recomendaci\u00f3n en este caso es tratarlo como una revisi\u00f3n prioritaria<\/strong>. No hace falta entrar en p\u00e1nico, pero s\u00ed actuar con orden: comprobar si tienes el m\u00f3dulo instalado, mirar la versi\u00f3n, actualizar a la versi\u00f3n corregida y revisar si hay se\u00f1ales de que la tienda haya podido ser tocada antes de aplicar el parche.<\/p>\n\n\n\n

\n\n\n\n

Qu\u00e9 ha pasado con el m\u00f3dulo Faceted Search de PrestaShop<\/h2>\n\n\n\n

El problema afecta al m\u00f3dulo oficial Faceted Search<\/strong>, el m\u00f3dulo que muchas tiendas PrestaShop usan para mostrar filtros en categor\u00edas: por precio, talla, color, marca, atributos, caracter\u00edsticas o disponibilidad.<\/p>\n\n\n\n

En la pr\u00e1ctica, es un m\u00f3dulo muy com\u00fan porque mejora la navegaci\u00f3n del cat\u00e1logo. Por eso esta vulnerabilidad es especialmente delicada: no afecta a una extensi\u00f3n rara o marginal, sino a un componente bastante habitual en tiendas reales.<\/p>\n\n\n\n

PrestaShop public\u00f3 el aviso de seguridad<\/a> el 3 de junio de 2026<\/strong> y recomienda actualizar el m\u00f3dulo a la versi\u00f3n 4.0.4<\/strong> lo antes posible. La propia comunicaci\u00f3n oficial insiste en que actualizar a esa versi\u00f3n es la forma completa de cerrar el problema.<\/p>\n\n\n\n

Qu\u00e9 es ps_facetedsearch<\/code> y por qu\u00e9 es importante<\/h3>\n\n\n\n

ps_facetedsearch<\/code> es el nombre t\u00e9cnico del m\u00f3dulo B\u00fasqueda por facetas<\/strong> o Faceted Search<\/strong>. Aunque en el panel de administraci\u00f3n lo veas con un nombre m\u00e1s amigable, internamente suele encontrarse en la ruta:<\/p>\n\n\n\n

\/modules\/ps_facetedsearch\/<\/code><\/pre>\n\n\n\n
Este m\u00f3dulo interviene en p\u00e1ginas de categor\u00eda, filtros de productos y resultados refinados. Por eso, aunque no lo hayas instalado manualmente, puede estar presente en muchas tiendas PrestaShop como m\u00f3dulo nativo u oficial.<\/p>\n\n\n\n
En mi caso, al plantear una gu\u00eda sobre esta vulnerabilidad, no lo enfocar\u00eda como una simple \u201cactualizaci\u00f3n de m\u00f3dulo\u201d. Lo enfocar\u00eda como una revisi\u00f3n de seguridad completa: versi\u00f3n, archivos, logs, cach\u00e9, contrase\u00f1as y estado general de la tienda.<\/p>\n\n\n\n
Por qu\u00e9 esta vulnerabilidad es seria<\/h3>\n\n\n\n
La gravedad viene por tres motivos:<\/p>\n\n\n\n
    \n
  1. Puede afectar a tiendas con el m\u00f3dulo instalado en versiones vulnerables.<\/strong><\/li>\n\n\n\n
  2. No requiere autenticaci\u00f3n<\/strong>, as\u00ed que no hablamos de un fallo limitado a usuarios con acceso al Back Office.<\/li>\n\n\n\n
  3. Puede derivar en ejecuci\u00f3n de c\u00f3digo no autorizado<\/strong>, que es uno de los escenarios m\u00e1s sensibles en seguridad web.<\/li>\n<\/ol>\n\n\n\n
    Dicho de forma clara: si una tienda ejecut\u00f3 una versi\u00f3n vulnerable de ps_facetedsearch<\/code>, actualizar es obligatorio, pero tambi\u00e9n conviene comprobar si ya hubo actividad sospechosa antes de la actualizaci\u00f3n.<\/p>\n\n\n\n
    Diferencia entre un problema de seguridad y un problema de cach\u00e9<\/h3>\n\n\n\n
    Aqu\u00ed conviene no mezclar temas. Existe tambi\u00e9n otro problema conocido relacionado con Faceted Search y la cach\u00e9\/base de datos<\/strong>, donde el m\u00f3dulo puede generar tablas o datos de cach\u00e9 que no se limpian correctamente y acaban causando problemas de rendimiento o hosting. Infomaniak, por ejemplo, explica soluciones como desactivar la cach\u00e9 del m\u00f3dulo o usar un cron\/webcron para limpiar peri\u00f3dicamente esa informaci\u00f3n.<\/p>\n\n\n\n
    Pero eso no es lo mismo<\/strong> que la vulnerabilidad de seguridad corregida en ps_facetedsearch 4.0.4<\/code>.<\/p>\n\n\n\n
    Una cosa es:<\/p>\n\n\n\n
    \n
    \u201cEl m\u00f3dulo me llena la base de datos o genera problemas de rendimiento.\u201d<\/p>\n<\/blockquote>\n\n\n\n
    Y otra muy distinta es:<\/p>\n\n\n\n
    \n
    \u201cEl m\u00f3dulo tiene una vulnerabilidad que puede permitir ejecuci\u00f3n de c\u00f3digo no autorizado.\u201d<\/p>\n<\/blockquote>\n\n\n\n
    Para la keyword \u201cvulnerabilidad prestashop modulo Faceted Search\u201d<\/strong>, el foco debe estar en la segunda.<\/p>\n\n\n\n
    \n\n\n\n
    Versiones afectadas y versi\u00f3n segura del m\u00f3dulo<\/h2>\n\n\n\n
    La informaci\u00f3n clave es esta:<\/p>\n\n\n\n
    Elemento<\/th>Detalle<\/th><\/tr><\/thead>
    M\u00f3dulo afectado<\/td>Faceted Search<\/td><\/tr>
    Nombre t\u00e9cnico<\/td>ps_facetedsearch<\/code><\/td><\/tr>
    Versiones vulnerables<\/td>De la 3.0.0 a la 4.0.3 incluida<\/td><\/tr>
    Versi\u00f3n corregida<\/td>4.0.4 o superior<\/td><\/tr>
    Tiendas afectadas<\/td>PrestaShop 1.7.1.0 o superior con versi\u00f3n vulnerable del m\u00f3dulo<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    PrestaShop indica que la vulnerabilidad afecta a ps_facetedsearch<\/code> desde la versi\u00f3n 3.0.0<\/strong> hasta la 4.0.3<\/strong>, ambas dentro del rango afectado, en tiendas con PrestaShop 1.7.1.0 o posterior<\/strong>. La correcci\u00f3n est\u00e1 disponible en ps_facetedsearch 4.0.4<\/strong>.<\/p>\n\n\n\n
    Qu\u00e9 versiones de ps_facetedsearch<\/code> son vulnerables<\/h3>\n\n\n\n
    Si tu tienda tiene instalada una versi\u00f3n entre estas:<\/p>\n\n\n\n
    ps_facetedsearch 3.0.0
    ps_facetedsearch 3.x
    ps_facetedsearch 4.0.0
    ps_facetedsearch 4.0.1
    ps_facetedsearch 4.0.2
    ps_facetedsearch 4.0.3<\/code><\/pre>\n\n\n\n
    debes considerarla vulnerable y actualizar.<\/p>\n\n\n\n
    Qu\u00e9 versi\u00f3n debes instalar<\/h3>\n\n\n\n
    La versi\u00f3n recomendada es:<\/p>\n\n\n\n
    ps_facetedsearch 4.0.4 o superior<\/code><\/pre>\n\n\n\n
    PrestaHeroes tambi\u00e9n resume el mismo dato: m\u00f3dulo afectado Faceted Search<\/strong>, nombre t\u00e9cnico ps_facetedsearch<\/strong>, versiones afectadas 3.0.0 \u2192 4.0.3<\/strong> y versi\u00f3n corregida 4.0.4+<\/strong>.<\/p>\n\n\n\n
    C\u00f3mo comprobar la versi\u00f3n desde el Back Office<\/h3>\n\n\n\n
    Para revisar la versi\u00f3n:<\/p>\n\n\n\n
      \n
    1. Entra al Back Office<\/strong> de PrestaShop.<\/li>\n\n\n\n
    2. Ve a M\u00f3dulos > Gestor de m\u00f3dulos<\/strong>.<\/li>\n\n\n\n
    3. Busca Faceted Search<\/strong> o B\u00fasqueda por facetas<\/strong>.<\/li>\n\n\n\n
    4. Comprueba la versi\u00f3n instalada.<\/li>\n\n\n\n
    5. Si aparece actualizaci\u00f3n disponible, actualiza.<\/li>\n\n\n\n
    6. Despu\u00e9s de actualizar, confirma que figura como 4.0.4 o superior<\/strong>.<\/li>\n<\/ol>\n\n\n\n
      Yo no dar\u00eda por hecho que \u201csi no lo uso, no importa\u201d. Si est\u00e1 instalado, conviene revisarlo. Y si no se usa, puede ser mejor hacer copia y eliminarlo correctamente.<\/p>\n\n\n\n
      \n\n\n\n
      Qu\u00e9 hacer si tienes Faceted Search instalado<\/h2>\n\n\n\n
      La acci\u00f3n correcta depende de tu caso. Esta es la forma m\u00e1s sencilla de decidir.<\/p>\n\n\n\n
      Situaci\u00f3n<\/th>Riesgo<\/th>Acci\u00f3n recomendada<\/th><\/tr><\/thead>
      El m\u00f3dulo est\u00e1 instalado y activo<\/td>Alto si est\u00e1 en versi\u00f3n vulnerable<\/td>Actualizar a 4.0.4 o superior<\/td><\/tr>
      Est\u00e1 instalado pero desactivado<\/td>Requiere revisi\u00f3n<\/td>Hacer copia y eliminar si no se usa<\/td><\/tr>
      Usas otro m\u00f3dulo de filtros<\/td>Depende<\/td>Comprobar si ps_facetedsearch<\/code> sigue instalado<\/td><\/tr>
      No puedes actualizar ahora<\/td>Alto<\/td>Aplicar mitigaci\u00f3n temporal y planificar actualizaci\u00f3n<\/td><\/tr>
      Ves archivos sospechosos<\/td>Cr\u00edtico<\/td>No borrar sin copia; revisar como incidente<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      Caso 1: el m\u00f3dulo est\u00e1 instalado y activo<\/h3>\n\n\n\n
      Si el m\u00f3dulo aparece en el gestor de m\u00f3dulos y est\u00e1 activo, revisa la versi\u00f3n. Si es de la 3.0.0 a la 4.0.3<\/strong>, actualiza a 4.0.4 o superior<\/strong>.<\/p>\n\n\n\n
      Despu\u00e9s:<\/p>\n\n\n\n