Vulnerabilidad crítica en ps_facetedsearch: actualiza tu PrestaShop ya
Fallo de seguridad crítico (10/10) en el módulo de búsqueda por facetas de PrestaShop. A quién afecta, cómo saber si estás expuesto y cómo proteger tu tienda en cinco minutos.
jordi··5 min
Vamos al grano, que esto corre prisa: si tu tienda PrestaShop usa el módulo de búsqueda por facetas (esos filtros laterales de precio, marca, talla o color…), actualízalo ya a la versión 4.0.4. Se acaba de destapar un fallo de seguridad crítico —puntuación 10 sobre 10, la máxima posible— y no es por meter miedo: es de los gordos.
Qué ha pasado (en cristiano)
El 3 de junio de 2026, PrestaShop publicó un aviso de seguridad sobre ps_facetedsearch, el módulo oficial de «búsqueda por facetas». Es uno de los módulos más instalados de todo el ecosistema PrestaShop, así que esto afecta a muchísimas tiendas.
El fallo es del tipo «inyección de objetos PHP». Suena a chino, pero la traducción es sencilla: un atacante puede colar una petición trucada a través de los filtros (los de tipo deslizador, como el del precio) y conseguir que el servidor cree un archivo malicioso dentro del módulo. Ese archivo se convierte en una puerta trasera —un «webshell»— desde la que ejecutar lo que le dé la gana en tu servidor.
¿A qué versiones afecta?
| Versión del módulo ps_facetedsearch | ¿Estás a salvo? |
|---|---|
| 3.0.0 → 4.0.3 | ❌ Vulnerable (sí, incluida la última hasta ahora) |
| 4.0.4 | ✅ Corregida: esta es la que quieres |
Afecta a cualquier tienda con PrestaShop 1.7.1.0 o superior que tenga instalada una de esas versiones del módulo. Y como la búsqueda por facetas viene «de fábrica» y está activa en la mayoría de tiendas, las probabilidades de que te toque son altas. Así que no lo des por hecho: compruébalo.
Qué tienes que hacer ahora (sí, ahora)
- Actualiza ps_facetedsearch a la versión 4.0.4, desde tu back office (Módulos → actualizar) o descargándolo del repositorio oficial de PrestaShop.
- ¿No puedes actualizar en este preciso momento? Desactiva el módulo temporalmente hasta que puedas. Mejor quedarte un rato sin filtros que con la puerta abierta de par en par.
- Comprueba que no haya «inquilinos» raros: archivos PHP extraños dentro de modules/ps_facetedsearch/ que tú no hayas puesto ahí.
- Échale un ojo a los registros de acceso (logs) de tu servidor por si hay peticiones sospechosas dirigidas a ese módulo.
¿Y si ya me han colado algo?
Aquí va el matiz importante: actualizar tapa el agujero, pero no echa a quien ya haya entrado. Si el atacante llegó a dejar un archivo malicioso antes de que actualizaras, ese archivo seguirá ahí. Por eso, si encuentras ficheros o actividad sospechosa, no basta con actualizar: hay que limpiar y auditar la tienda a fondo. Sin agobios, pero sin mirar hacia otro lado.
Si todo esto te suena a chino, o simplemente no te apetece estar pendiente de cada parche que sale, es justo de lo que nos ocupamos en nuestro mantenimiento PrestaShop: vigilamos las actualizaciones de seguridad y las aplicamos por ti antes de que se conviertan en un disgusto.
Ya que estás, actualiza también el core
En el mismo aviso, PrestaShop recordó que las versiones 8.2.6 y 9.1.1 del core ya solucionaron otra vulnerabilidad crítica. Si todavía vas con una versión anterior, aprovecha el viaje y ponte al día: tienes todas las versiones de PrestaShop aquí.
La moraleja de siempre
Mantener PrestaShop y sus módulos al día no es una manía de informáticos pesados: es lo que separa una tienda que vende tranquila de una que amanece hackeada. Los fallos de seguridad existen y van a seguir saliendo; la diferencia está en cuánto tardas en taparlos. Hoy te toca este: ps_facetedsearch a la 4.0.4 y a seguir vendiendo. 🙂
