<![CDATA[Des modules et des hacks - liste non exhaustive des modules présentant un risque]]>Ci-dessous une liste de modules régulièrement testé par les hackeurs - ces modules contiennent ou ont contenu des failles de sécurité.

Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le. Il vaut mieux perdre une fonctionnalité que de perdre sa boutique. Contactez alors le développeur pour obtenir une version saine.

Si vous n'avez aucun de ces modules et avez un dédié, vous pouvez également créer un filtre fail2ban afin d'expulser le bot dès la première tentative - ceci vous éloignera des nuisances de ces parasites.
Une impléméntation fail2ban ici: https://area51.enter-solutions.com/snippets/81

La liste (non exhaustive):

yuzu/yuzuCheck.php
yuzu/yuzuApi.php
columnadverts/uploadimage.php
columnadverts/slides/error.php
vtemslideshow/uploadimage.php
vtemslideshow/slides/error.php
realty/include/uploadimage.php
realty/include/slides/error.php
realty/evogallery/uploadimage.php
realty/evogallery/slides/error.php
realty/evogallery2/uploadimage.php
realty/evogallery2/slides/error.php
resaleform/upload.php
filesupload/error.php
megaproduct/
megaproduct/error.php
soopamobile/uploadimage.php
soopamobile/slides/error.php
soopamobile2/uploadimage.php
soopamobile2/slides/error.php
soopamobile2/uploadproduct.php
soopabanners/uploadimage.php
soopabanners/slides/error.php
vtermslideshow/uploadimage.php
vtermslideshow/slides/error.php
simpleslideshow/uploadimage.php
simpleslideshow/slides/error.php
productpageadverts/uploadimage.php
productpageadverts/slides/error.php
homepageadvertise/uploadimage.php
homepageadvertise/slides/error.php
homepageadvertise2/uploadimage.php
homepageadvertise2/slides/error.php
columnadverts2/uploadimage.php
columnadverts2/slides/error.php
filesupload/upload.php
filesupload/uploads/error.php
jro_homepageadvertise/uploadimage.php
jro_homepageadvertise/slides/error.php
jro_homepageadvertise2/uploadimage.php
jro_homepageadvertise2/slides/error.php
leosliderlayer/uploadimage.php
leosliderlayer/slides/error.php
leosliderlayer/upload_images.php
vtemskitter/uploadimage.php
vtemskitter/img/error.php
additionalproductstabs/file_upload.php
additionalproductstabs/file_uploads/error.php
addthisplugin/file_upload.php
addthisplugin/file_uploads/error.php
attributewizardpro/file_upload.php
attributewizardpro/file_uploads/error.php
attributewizardpro.OLD/file_upload.php
attributewizardpro.OLD/file_uploads/error.php
1attributewizardpro/file_upload.php
1attributewizardpro/file_uploads/error.php
attributewizardpro_x/file_upload.php
attributewizardpro_x/file_uploads/error.php
advancedslider/ajax_advancedsliderUpload.php?action=submitUploadImage%252526id_slide=php
advancedslider/uploads/error.php
bamegamenu/ajax_phpcode.php
cartabandonmentpro/upload.php
cartabandonmentpro/uploads/error.php
cartabandonmentproOld/upload.php
cartabandonmentproOld/uploads/error.php
videostab/ajax_videostab.php?action=submitUploadVideo%252526id_product=upload
videostab/uploads/error.php
fieldvmegamenu/ajax/upload.php
fieldvmegamenu/uploads/error.php
orderfiles/ajax/upload.php
orderfiles/files/error.php
pk_flexmenu/ajax/upload.php
pk_flexmenu/uploads/error.php
pk_flexmenu_old/ajax/upload.php
pk_flexmenu_old/uploads/error.php
pk_vertflexmenu/ajax/upload.php
pk_vertflexmenu/uploads/error.php
nvn_export_orders/upload.php
nvn_export_orders/error.php
tdpsthemeoptionpanel/tdpsthemeoptionpanelAjax.php
tdpsthemeoptionpanel/upload/error.php
psmodthemeoptionpanel/psmodthemeoptionpanel_ajax.php
psmodthemeoptionpanel/upload/error.php
lib/redactor/file_upload.php
blocktestimonial/addtestimonial.php
colorpictures
explorerpro
sampledatainstall
vm_advancedconfigurator
marketplace/libs/filemanager/dialog.php
ec_import/upload.php
vtemskitter/uploadimage.php
blocktestimonial/addtestimonial.php
/index.php?fc=module&module=orderfiles&controller=filesmanager
/index.php?fc=module&module=supercheckout&controller=supercheckout&ajax=1&method=SaveFilesCustomField
smartprestashopthemeadmin/ajax_smartprestashopthemeadmin.php
Injection possible depuis plusieurs fichiers du module infobia_properso:
infobia_properso/admin/upload.php
infobia_properso/admin/upload_motif.php
infobia_properso/maquetteajax.php
infobia_properso/transfert.php
infobia_properso/transfert2.php
infobia_properso/transfertjson.php
infobia_properso/upload.php
infobia_properso/uploadfile.php
nvn_excel_import/hayageekupload/php/upload.php
nvn_excel_import/upload.php
nvn_excel_import/uploadify.php
pkfacebook

Le lien vers l'un de ces bots scanner afin de vous faire prendre conscience de la réalité du risque.
ici

]]>https://bb.enter-solutions.net/topic/1075/des-modules-et-des-hacks-liste-non-exhaustive-des-modules-présentant-un-risqueRSS for NodeSat, 14 Mar 2026 02:05:27 GMTTue, 13 Nov 2018 17:18:44 GMT60<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Thu, 12 Dec 2024 14:15:21 GMT]]>Un de plus m4pdf sur appel du fichier pdf.php qui permet d'uploader un fichier php qui sera stocké dans le répertoire /tpl du module.
Il y a un contrôle à 2 balles sur un cookie (qu'on peut forger) et un token qui correspond au MD5 du nom du fichier qu'on envoie...

]]>https://bb.enter-solutions.net/post/2135https://bb.enter-solutions.net/post/2135Thu, 12 Dec 2024 14:15:21 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Sun, 27 Nov 2022 13:37:10 GMT]]>@mediacom87
Merci, le module a été ajouté.

]]>https://bb.enter-solutions.net/post/1399https://bb.enter-solutions.net/post/1399Sun, 27 Nov 2022 13:37:10 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Sun, 27 Nov 2022 11:42:20 GMT]]>On peut ajouter le module pkfacebook

]]>https://bb.enter-solutions.net/post/1398https://bb.enter-solutions.net/post/1398Sun, 27 Nov 2022 11:42:20 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Tue, 26 Jul 2022 17:52:05 GMT]]>Module JA Marketplace V 6.2 et sûrement avant

]]>https://bb.enter-solutions.net/post/1397https://bb.enter-solutions.net/post/1397Tue, 26 Jul 2022 17:52:05 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Sat, 31 Jul 2021 15:25:39 GMT]]>Et un nouveau qui permet l'upload depuis un Dropbox sans sécurité, ni contrôle:
/modules/utilgen/elFinder/php/connector.minimal.php par Ether Creation Version: 1.1.0

]]>https://bb.enter-solutions.net/post/1395https://bb.enter-solutions.net/post/1395Sat, 31 Jul 2021 15:25:39 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Sat, 03 Oct 2020 22:03:04 GMT]]>Encore une serie:
/modules/wdoptionpanel/wdoptionpanel_ajax.php
/modules/wg24themeadministration/wg24_ajax.php

]]>https://bb.enter-solutions.net/post/1394https://bb.enter-solutions.net/post/1394Sat, 03 Oct 2020 22:03:04 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Sat, 12 Sep 2020 08:43:02 GMT]]>De nouveaux arrivants dans le "game":
/modules/marketplace/libs/filemanager/dialog.php
/modules/ec_import/upload.php

]]>https://bb.enter-solutions.net/post/1393https://bb.enter-solutions.net/post/1393Sat, 12 Sep 2020 08:43:02 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Tue, 08 Sep 2020 14:15:04 GMT]]>@mediacom87
Comme spécifier en début de topic:
"Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le."

]]>https://bb.enter-solutions.net/post/1392https://bb.enter-solutions.net/post/1392Tue, 08 Sep 2020 14:15:04 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Tue, 08 Sep 2020 12:50:16 GMT]]>@mediacom87 a dit dans Des modules et des hacks - liste non exhaustive des modules présentant un risque :

@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.

Le problème n'est pas de savoir s'il y a une correction mais s'il est présent sur l'hébergement dans une version avec faille justement 😉

]]>https://bb.enter-solutions.net/post/1391https://bb.enter-solutions.net/post/1391Tue, 08 Sep 2020 12:50:16 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Tue, 08 Sep 2020 12:43:41 GMT]]>@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.

]]>https://bb.enter-solutions.net/post/1390https://bb.enter-solutions.net/post/1390Tue, 08 Sep 2020 12:43:41 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Mon, 26 Oct 2020 16:22:03 GMT]]>2 de plus: vm_advancedconfigurator et jscomposer

]]>https://bb.enter-solutions.net/post/1389https://bb.enter-solutions.net/post/1389Mon, 26 Oct 2020 16:22:03 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Thu, 03 Sep 2020 06:46:12 GMT]]>3 nouveaux modules :

colorpictures
explorerpro
sampledatainstall

]]>https://bb.enter-solutions.net/post/1388https://bb.enter-solutions.net/post/1388Thu, 03 Sep 2020 06:46:12 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Thu, 13 Aug 2020 17:06:48 GMT]]>Bonjour,
merci pour ce fil de discussion qui m'a bien aidée, pour ceux qui pourraient en avoir besoin, le patch pour jmsslider est ici: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html

]]>https://bb.enter-solutions.net/post/1387https://bb.enter-solutions.net/post/1387Thu, 13 Aug 2020 17:06:48 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Thu, 12 Sep 2019 13:48:14 GMT]]>Bonjour,

Nouveaux thèmes avec module :

Pour information :
Il y avait une faille de sécurité dans le module jmsslider.
Le module est installé avec les thèmes de https://www.joommasters.com/
La faille est dans le fichier ajax_jmsslider.php et permet d'uploader un fichier PHP sur le serveur (donc prise de contrôle de la boutique).
La faille existe si le module est présent, il n'y a pas besoin d'installer le module ni de l'activer.
La faille a été corrigé fin juillet dans le module.

Thomas

]]>https://bb.enter-solutions.net/post/1386https://bb.enter-solutions.net/post/1386Thu, 12 Sep 2019 13:48:14 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Tue, 13 Nov 2018 19:56:11 GMT]]>Bon, pour l’instant, tout va bien.

]]>https://bb.enter-solutions.net/post/1332https://bb.enter-solutions.net/post/1332Tue, 13 Nov 2018 19:56:11 GMT<![CDATA[Reply to Des modules et des hacks - liste non exhaustive des modules présentant un risque on Wed, 14 Nov 2018 07:25:20 GMT]]>Génial !

Ca aide beaucoup je vais lister les modules que j'ai trouvé également, les codes on souvent été enlevé ou corrigé mais je n'ai pas souvent eu d'info sur les fixs.

1 ) https://www.prestashop.com/forums/topic/168254-module-controleur-activation-de-compte-par-email-validation-dadresse-mail/

2 ) module-sale-category-appliquer-une-reductionmettre-en-solde-tous-les-produits-dune-categorie

3 ) https://www.prestashop.com/forums/topic/196722-module-gratuit-changer-le-transporteur/

4 ) https://www.prestashop.com/forums/topic/258668-module-mini-sondage-comment-nous-avez-vous-connu-ps1415/page-3

5 ) https://github.com/xanaxilovsky/lexikotron

6 ) https://github.com/PrestaSafe/prestanews/pull/1

]]>https://bb.enter-solutions.net/post/1331https://bb.enter-solutions.net/post/1331Wed, 14 Nov 2018 07:25:20 GMT