Des modules et des hacks - liste non exhaustive des modules présentant un risque

okom3pom

Génial !

Ca aide beaucoup je vais lister les modules que j'ai trouvé également, les codes on souvent été enlevé ou corrigé mais je n'ai pas souvent eu d'info sur les fixs.

1 ) https://www.prestashop.com/forums/topic/168254-module-controleur-activation-de-compte-par-email-validation-dadresse-mail/

2 ) module-sale-category-appliquer-une-reductionmettre-en-solde-tous-les-produits-dune-categorie

3 ) https://www.prestashop.com/forums/topic/196722-module-gratuit-changer-le-transporteur/

4 ) https://www.prestashop.com/forums/topic/258668-module-mini-sondage-comment-nous-avez-vous-connu-ps1415/page-3

5 ) https://github.com/xanaxilovsky/lexikotron

6 ) https://github.com/PrestaSafe/prestanews/pull/1

mediacom87

Bon, pour l’instant, tout va bien.

okom3pom

Bonjour,

Nouveaux thèmes avec module :

Pour information :
Il y avait une faille de sécurité dans le module jmsslider.
Le module est installé avec les thèmes de https://www.joommasters.com/
La faille est dans le fichier ajax_jmsslider.php et permet d'uploader un fichier PHP sur le serveur (donc prise de contrôle de la boutique).
La faille existe si le module est présent, il n'y a pas besoin d'installer le module ni de l'activer.
La faille a été corrigé fin juillet dans le module.

Thomas

SophieB

Bonjour,
merci pour ce fil de discussion qui m'a bien aidée, pour ceux qui pourraient en avoir besoin, le patch pour jmsslider est ici: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html

okom3pom

3 nouveaux modules :

colorpictures
explorerpro
sampledatainstall

eolia

2 de plus: vm_advancedconfigurator et jscomposer

mediacom87

@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.

eolia

@mediacom87 a dit dans Des modules et des hacks - liste non exhaustive des modules présentant un risque :

@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.

Le problème n'est pas de savoir s'il y a une correction mais s'il est présent sur l'hébergement dans une version avec faille justement

doekia

@mediacom87
Comme spécifier en début de topic:
"Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le."

doekia

De nouveaux arrivants dans le "game":
/modules/marketplace/libs/filemanager/dialog.php
/modules/ec_import/upload.php

doekia

Encore une serie:
/modules/wdoptionpanel/wdoptionpanel_ajax.php
/modules/wg24themeadministration/wg24_ajax.php

eolia

Et un nouveau qui permet l'upload depuis un Dropbox sans sécurité, ni contrôle:
/modules/utilgen/elFinder/php/connector.minimal.php par Ether Creation Version: 1.1.0

okom3pom

Module JA Marketplace V 6.2 et sûrement avant

mediacom87

On peut ajouter le module pkfacebook

eolia

@mediacom87
Merci, le module a été ajouté.

eolia

Un de plus m4pdf sur appel du fichier pdf.php qui permet d'uploader un fichier php qui sera stocké dans le répertoire /tpl du module.
Il y a un contrôle à 2 balles sur un cookie (qu'on peut forger) et un token qui correspond au MD5 du nom du fichier qu'on envoie...