Des modules et des hacks - liste non exhaustive des modules présentant un risque
-
2 de plus: vm_advancedconfigurator et jscomposer
-
@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.
Prestatoolbox : https://www.prestatoolbox.fr
Mediacom87 : https://www.mediacom87.frModules compatibles PhenixSuite : https://www.prestatoolbox.fr/7-modules-prestashop-addons-thirtybees#/compatible_phenixsuite-oui
-
@mediacom87 a dit dans Des modules et des hacks - liste non exhaustive des modules présentant un risque :
@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.
Le problème n'est pas de savoir s'il y a une correction mais s'il est présent sur l'hébergement dans une version avec faille justement
-
@mediacom87
Comme spécifier en début de topic:
"Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le." -
De nouveaux arrivants dans le "game":
/modules/marketplace/libs/filemanager/dialog.php
/modules/ec_import/upload.php -
Encore une serie:
/modules/wdoptionpanel/wdoptionpanel_ajax.php
/modules/wg24themeadministration/wg24_ajax.php -
Et un nouveau qui permet l'upload depuis un Dropbox sans sécurité, ni contrôle:
/modules/utilgen/elFinder/php/connector.minimal.php par Ether Creation Version: 1.1.0 -
Module JA Marketplace V 6.2 et sûrement avant
-
On peut ajouter le module pkfacebook
-
@mediacom87
Merci, le module a été ajouté. -
Un de plus m4pdf sur appel du fichier pdf.php qui permet d'uploader un fichier php qui sera stocké dans le répertoire /tpl du module.
Il y a un contrôle à 2 balles sur un cookie (qu'on peut forger) et un token qui correspond au MD5 du nom du fichier qu'on envoie...
