Des modules et des hacks - liste non exhaustive des modules présentant un risque



  • Ci-dessous une liste de modules régulièrement testé par les hackeurs - ces modules contiennent ou ont contenu des failles de sécurité.

    Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le. Il vaut mieux perdre une fonctionnalité que de perdre sa boutique. Contactez alors le développeur pour obtenir une version saine.

    Si vous n'avez aucun de ces modules et avez un dédié, vous pouvez également créer un filtre fail2ban afin d'expulser le bot dès la première tentative - ceci vous éloignera des nuisances de ces parasites.
    Une impléméntation fail2ban ici: https://area51.enter-solutions.com/snippets/81

    La liste (non exhaustive):

    yuzu/yuzuCheck.php
    yuzu/yuzuApi.php
    columnadverts/uploadimage.php
    columnadverts/slides/error.php
    vtemslideshow/uploadimage.php
    vtemslideshow/slides/error.php
    realty/include/uploadimage.php
    realty/include/slides/error.php
    realty/evogallery/uploadimage.php
    realty/evogallery/slides/error.php
    realty/evogallery2/uploadimage.php
    realty/evogallery2/slides/error.php
    resaleform/upload.php
    filesupload/error.php
    megaproduct/
    megaproduct/error.php
    soopamobile/uploadimage.php
    soopamobile/slides/error.php
    soopamobile2/uploadimage.php
    soopamobile2/slides/error.php
    soopamobile2/uploadproduct.php
    soopabanners/uploadimage.php
    soopabanners/slides/error.php
    vtermslideshow/uploadimage.php
    vtermslideshow/slides/error.php
    simpleslideshow/uploadimage.php
    simpleslideshow/slides/error.php
    productpageadverts/uploadimage.php
    productpageadverts/slides/error.php
    homepageadvertise/uploadimage.php
    homepageadvertise/slides/error.php
    homepageadvertise2/uploadimage.php
    homepageadvertise2/slides/error.php
    columnadverts2/uploadimage.php
    columnadverts2/slides/error.php
    filesupload/upload.php
    filesupload/uploads/error.php
    jro_homepageadvertise/uploadimage.php
    jro_homepageadvertise/slides/error.php
    jro_homepageadvertise2/uploadimage.php
    jro_homepageadvertise2/slides/error.php
    leosliderlayer/uploadimage.php
    leosliderlayer/slides/error.php
    leosliderlayer/upload_images.php
    vtemskitter/uploadimage.php
    vtemskitter/img/error.php
    additionalproductstabs/file_upload.php
    additionalproductstabs/file_uploads/error.php
    addthisplugin/file_upload.php
    addthisplugin/file_uploads/error.php
    attributewizardpro/file_upload.php
    attributewizardpro/file_uploads/error.php
    attributewizardpro.OLD/file_upload.php
    attributewizardpro.OLD/file_uploads/error.php
    1attributewizardpro/file_upload.php
    1attributewizardpro/file_uploads/error.php
    attributewizardpro_x/file_upload.php
    attributewizardpro_x/file_uploads/error.php
    advancedslider/ajax_advancedsliderUpload.php?action=submitUploadImage%252526id_slide=php
    advancedslider/uploads/error.php
    bamegamenu/ajax_phpcode.php
    cartabandonmentpro/upload.php
    cartabandonmentpro/uploads/error.php
    cartabandonmentproOld/upload.php
    cartabandonmentproOld/uploads/error.php
    videostab/ajax_videostab.php?action=submitUploadVideo%252526id_product=upload
    videostab/uploads/error.php
    fieldvmegamenu/ajax/upload.php
    fieldvmegamenu/uploads/error.php
    orderfiles/ajax/upload.php
    orderfiles/files/error.php
    pk_flexmenu/ajax/upload.php
    pk_flexmenu/uploads/error.php
    pk_flexmenu_old/ajax/upload.php
    pk_flexmenu_old/uploads/error.php
    pk_vertflexmenu/ajax/upload.php
    pk_vertflexmenu/uploads/error.php
    nvn_export_orders/upload.php
    nvn_export_orders/error.php
    tdpsthemeoptionpanel/tdpsthemeoptionpanelAjax.php
    tdpsthemeoptionpanel/upload/error.php
    psmodthemeoptionpanel/psmodthemeoptionpanel_ajax.php
    psmodthemeoptionpanel/upload/error.php
    lib/redactor/file_upload.php
    blocktestimonial/addtestimonial.php
    colorpictures
    explorerpro
    sampledatainstall
    vm_advancedconfigurator
    marketplace/libs/filemanager/dialog.php
    ec_import/upload.php
    vtemskitter/uploadimage.php
    blocktestimonial/addtestimonial.php
    /index.php?fc=module&module=orderfiles&controller=filesmanager
    /index.php?fc=module&module=supercheckout&controller=supercheckout&ajax=1&method=SaveFilesCustomField
    smartprestashopthemeadmin/ajax_smartprestashopthemeadmin.php
    Injection possible depuis plusieurs fichiers du module infobia_properso:
    infobia_properso/admin/upload.php
    infobia_properso/admin/upload_motif.php
    infobia_properso/maquetteajax.php
    infobia_properso/transfert.php
    infobia_properso/transfert2.php
    infobia_properso/transfertjson.php
    infobia_properso/upload.php
    infobia_properso/uploadfile.php
    nvn_excel_import/hayageekupload/php/upload.php
    nvn_excel_import/upload.php
    nvn_excel_import/uploadify.php
    pkfacebook

    Le lien vers l'un de ces bots scanner afin de vous faire prendre conscience de la réalité du risque.
    ici


  • legacy

    Génial !

    Ca aide beaucoup je vais lister les modules que j'ai trouvé également, les codes on souvent été enlevé ou corrigé mais je n'ai pas souvent eu d'info sur les fixs.

    1 ) https://www.prestashop.com/forums/topic/168254-module-controleur-activation-de-compte-par-email-validation-dadresse-mail/

    2 ) module-sale-category-appliquer-une-reductionmettre-en-solde-tous-les-produits-dune-categorie

    3 ) https://www.prestashop.com/forums/topic/196722-module-gratuit-changer-le-transporteur/

    4 ) https://www.prestashop.com/forums/topic/258668-module-mini-sondage-comment-nous-avez-vous-connu-ps1415/page-3

    5 ) https://github.com/xanaxilovsky/lexikotron

    6 ) https://github.com/PrestaSafe/prestanews/pull/1



  • Bon, pour l’instant, tout va bien.


  • legacy

    Bonjour,

    Nouveaux thèmes avec module :

    Pour information :
    Il y avait une faille de sécurité dans le module jmsslider.
    Le module est installé avec les thèmes de https://www.joommasters.com/
    La faille est dans le fichier ajax_jmsslider.php et permet d'uploader un fichier PHP sur le serveur (donc prise de contrôle de la boutique).
    La faille existe si le module est présent, il n'y a pas besoin d'installer le module ni de l'activer.
    La faille a été corrigé fin juillet dans le module.

    Thomas



  • Bonjour,
    merci pour ce fil de discussion qui m'a bien aidée, pour ceux qui pourraient en avoir besoin, le patch pour jmsslider est ici: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html


  • legacy

    3 nouveaux modules :

    colorpictures
    explorerpro
    sampledatainstall



  • 2 de plus: vm_advancedconfigurator et jscomposer



  • @eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.



  • @mediacom87 a dit dans Des modules et des hacks - liste non exhaustive des modules présentant un risque :

    @eolia de mémoire, la faille est corrigé sur les dernières versions du module depuis des années.

    Le problème n'est pas de savoir s'il y a une correction mais s'il est présent sur l'hébergement dans une version avec faille justement ;)



  • @mediacom87
    Comme spécifier en début de topic:
    "Si vous possédez l'un de ces modules et ne savez pas si votre version est corrigé, supprimez le immédiatement. Ne le renommez pas, supprimez le. Peu importe qu'il soit activé ou non, supprimez le."



  • De nouveaux arrivants dans le "game":
    /modules/marketplace/libs/filemanager/dialog.php
    /modules/ec_import/upload.php



  • Encore une serie:
    /modules/wdoptionpanel/wdoptionpanel_ajax.php
    /modules/wg24themeadministration/wg24_ajax.php



  • Et un nouveau qui permet l'upload depuis un Dropbox sans sécurité, ni contrôle:
    /modules/utilgen/elFinder/php/connector.minimal.php par Ether Creation Version: 1.1.0


  • legacy

    Module JA Marketplace V 6.2 et sûrement avant



  • On peut ajouter le module pkfacebook



  • @mediacom87
    Merci, le module a été ajouté.



  • Un de plus m4pdf sur appel du fichier pdf.php qui permet d'uploader un fichier php qui sera stocké dans le répertoire /tpl du module.
    Il y a un contrôle à 2 balles sur un cookie (qu'on peut forger) et un token qui correspond au MD5 du nom du fichier qu'on envoie...