Récemment
-
Problème configuration php valeurs max-imput-vars
Bugs & Améliorations5 -
Nouvelle installation : erreur sur les ajouts d'images
Questions relatives à l'installation/upgrade11 -
Problème de lien vers tpl module custom
PhenixSuite3 -
Modification sur le thème "Craft"
Questions relatives à l'installation/upgrade3 -
Installation avec Wamp
Questions relatives à l'installation/upgrade1 -
date_upd produits
Bugs & Améliorations13 -
Champ description longue pour les catégories
Modules5 -
Erreurs suite à la mise à jour
Questions relatives à l'installation/upgrade10 -
Module personnalisation de produit
Modules3 -
Theme non fonctionnel - après MAJ de la Phenixsuite 1.6.2.32
Questions relatives à l'installation/upgrade13 -
TinyMCE
Bugs & Améliorations2 -
Déclinaisons virtuelles avec fichiers
PhenixSuite10 -
[RESOLU]Lien téléchargement dans le mail
Discussion générale6 -
[RESOLU]RGPD
Modules5 -
Compatibilité des modules
Discussion générale2 -
[RESOLU]Bug page Préférences Produits
Bugs & Améliorations4 -
htaccess chatouilleux ?
Bugs & Améliorations14 -
Installation depuis boutique 1.6.1.17
Questions relatives à l'installation/upgrade19 -
[RESOLU]Module réassurance, permettre le html
Modules4 -
Des modules et des hacks - liste non exhaustive des modules présentant un risque
Discussion générale17
Des modules et des hacks - liste non exhaustive des modules présentant un risque
-
Bonjour,
Nouveaux thèmes avec module :
Pour information :
Il y avait une faille de sécurité dans le module jmsslider.
Le module est installé avec les thèmes de https://www.joommasters.com/
La faille est dans le fichier ajax_jmsslider.php et permet d'uploader un fichier PHP sur le serveur (donc prise de contrôle de la boutique).
La faille existe si le module est présent, il n'y a pas besoin d'installer le module ni de l'activer.
La faille a été corrigé fin juillet dans le module.Thomas
-
Bonjour,
merci pour ce fil de discussion qui m'a bien aidée, pour ceux qui pourraient en avoir besoin, le patch pour jmsslider est ici: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html
-
3 nouveaux modules :
colorpictures
explorerpro
sampledatainstall
-
2 de plus: vm_advancedconfigurator et jscomposer
-
@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.
-
@mediacom87 a dit dans Des modules et des hacks - liste non exhaustive des modules présentant un risque :
@eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.
Le problème n'est pas de savoir s'il y a une correction mais s'il est présent sur l'hébergement dans une version avec faille justement ;)
-
@mediacom87
Comme spécifier en début de topic:
"Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le."
-
De nouveaux arrivants dans le "game":
/modules/marketplace/libs/filemanager/dialog.php
/modules/ec_import/upload.php
-
Encore une serie:
/modules/wdoptionpanel/wdoptionpanel_ajax.php
/modules/wg24themeadministration/wg24_ajax.php
-
Et un nouveau qui permet l'upload depuis un Dropbox sans sécurité, ni contrôle:
/modules/utilgen/elFinder/php/connector.minimal.php par Ether Creation Version: 1.1.0
-
Module JA Marketplace V 6.2 et sûrement avant
-
On peut ajouter le module pkfacebook
-
@mediacom87
Merci, le module a été ajouté.
-
Un de plus m4pdf sur appel du fichier pdf.php qui permet d'uploader un fichier php qui sera stocké dans le répertoire /tpl du module.
Il y a un contrôle à 2 balles sur un cookie (qu'on peut forger) et un token qui correspond au MD5 du nom du fichier qu'on envoie...
