Информация Prestashop Security

  • Автор темы

Major Security Vulnerability On PrestaShop Websites​

A NEWLY FOUND EXPLOIT COULD ALLOW REMOTE ATTACKERS TO TAKE CONTROL OF YOUR SHOP.​

Written by
PrestaShop team

Published
Jul 22, 2022

Для просмотра ссылки Войди или Зарегистрируйся
Вам ещё нужны аргументы, чтобы обновиться наконец ?

И не думайте, что ваш сайт никому не нужен...

Рашисты и другие недоброжелатели - не спят, и любой сайт или сервер можно использовать для своих тёмных делишек
 

byura

Хранитель порядка
Регистрация
29 Янв 2007
Сообщения
626
Реакции
707
доп информация
Для информации, файл blm.php удаляется после инъекции.
Файл XXXXXX.js создается в каталоге /js сайта.
Он генерируется из PHP-инъекций, сделанных в нескольких php-файлах:
- /classes/Controller.php (Добавлено в функции smartyOutputContent())
- /classes/Db/Db.php (добавлено в конце файла)
- /controllers/AdminLoginController.php (добавлен в функцию processLogin()) Касается только 1.5/1.6
- /classes/modules/Module.php (добавлен в конец файла) и модификация функции _generateConfigXml()

В итоге ваши платежные модули становятся невидимыми и заменяются страницей платежа со всей информацией о платеже (сумма, страна, происхождение, контактные данные и т.д.), а в китайском магазине формируется заказ на ту же сумму в китайский банк.
Если клиент подтверждает 3DSecure, то платеж подтверждается.
 

Semg

Постоялец
Регистрация
12 Янв 2013
Сообщения
286
Реакции
160
Хотите проверить, взломан ли ваш сайт? Воспользуйтесь нашим веб-инструментом и введите имя своего домена вместо « domain.tld»
: Для просмотра ссылки Войди или Зарегистрируйся domain.tld
Если ваш домен, например, mydomain.cz, введите:
https:// /www.openservis.cz/pedido_checker.php?url=mojedomena.cz
Просто откройте указанный URL-адрес в своем браузере.
Мой магазин пишет что чисто
 

byura

Хранитель порядка
Регистрация
29 Янв 2007
Сообщения
626
Реакции
707
доп проверяем: если включен умный кеш mysql переключаем на кеш файловой системы
Prestashop 1.6/1.7 уязвимы при включении этой функции.
jbNIpzy.jpg
 

_sashok

PrestaShop Expert
Регистрация
15 Июл 2011
Сообщения
2.310
Реакции
4.110
и следите за актуальностью каждого модуля

самое простое в данном случае:
полностью удалить файлы модуля blockwishlist
тем более если не пользуетесь ним

а свежие версии лучше брать в официальном французском репозитории:

blockwishlist 2.1.1 - уже там месяц как лежит пофиксенный )

Для просмотра ссылки Войди или Зарегистрируйся
 

byura

Хранитель порядка
Регистрация
29 Янв 2007
Сообщения
626
Реакции
707
Этот бесплатный модуль может сканировать ваш сайт на наличие уязвимостей и помочь вам создать безопасную среду.
Модуль также предназначен для удаления вредоносных программ с зараженных сайтов!
Шаг 1: Загрузите последнюю версию модуля: Для просмотра ссылки Войди или Зарегистрируйся
Шаг 2: Установите модуль на свой сайт PrestaShop.
Шаг 3. Откройте модуль и нажмите «Запустить процесс очистки».
Модуль требует PrestaShop 1.6.1+ и PHP 7.0.
image.jpg
 

sergiykhd

Prestashop Expert
Регистрация
17 Апр 2013
Сообщения
1.227
Реакции
1.146
Мануальне усунення дірки

Знайдіть файл config/smarty.config.inc.php у вашій установці PrestaShop і видаліть рядки 43-46 (PrestaShop 1.7) або 40-43 (PrestaShop 1.6:(

Код:
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}
 
Последнее редактирование:
Сверху