CONTACT

Prestashop : Faille de sécurité critique dans les modules

Les attaquants utilisent une vulnérabilité dans une dépendance populaire utilisée par les modules pour prendre le contrôle des sites PrestaShop. Pour plus de détails, veuillez lire l'intégralité de l'article.

Etat des lieux : la faille de sécurité Prestashop PhpUnit

L'équipe Prestashop nous a informé que des attaquants exploitent actuellement une vulnérabilité dans PHPUnit pour exécuter du code arbitraire sur des serveurs exécutant des sites Web Prestashop. Le problème est résolu dans la dernière version de PHPUnit 7.5.19 et 8.5.1. En revanche, toutes les versions précédentes sont vulnérables. Ce qui veut dire aussi que certains modules non mis à jour peuvent compromettre toute votre activité et vos données. (vol de données).

Comment savoir si vous êtes touché par la faille Prestashop PHPUnit ?

Connectez-vous à votre boutique via un accès FTP ou shell, et regardez le répertoire «vendor» dans le dossier principal de prestashop et à l'intérieur de chacun de vos modules:

  • <prestashop_directory> / vendor
  • <prestashop_directory> / modules / <module_name> / vendor

S'il y a un répertoire appelé "phpunit" à l'intérieur des répertoires susmentionnés, votre boutique peut être vulnérable.

commande sous linux : "find ./"votre dossier web"/ -name "phpunit"

vous aurez ainsi tous les répertoires concernés et vous pourrez les traiter via la commande :

find . -type d -name "phpunit" -exec rm -rf {} \;

Cette commande nécessite les droits d'utilisateur appropriés.

Vous pouvez également supprimer manuellement les dossiers «phpunit» via FTP.

Sachez que même si vous effectuez ce nettoyage, votre boutique peut déjà avoir été compromise.

Selon notre analyse, la plupart des attaquants placent de nouveaux fichiers dans le système de fichiers ou modifient des fichiers existants, comme AdminLoginController.php.

Voici une liste non exhaustive des fichiers malveillants connus qui peuvent indiquer une boutique compromise:

fichier : XsamXadoo_Bot.php 

fichier : XsamXadoo_deface.php

fichier : 0x666.php

fichier : f.php

Vous pouvez vérifier si les fichiers Core PrestaShop ont été modifiés en consultant la section "Liste des fichiers modifiés" au bas de la page "Paramètres avancés> Informations" de votre Back Office. Cependant, cette vérification peut ne pas être suffisante car votre site peut avoir été compromis autrement.

Si votre boutique a été compromise ou si vous pensez qu'elle a été compromise:

  • Vérifiez soigneusement que l'attaquant n'a laissé aucun fichier sur votre serveur, par exemple caché au milieu des fichiers de votre boutique et / ou contactez un expert pour le faire pour vous.
  • Pensez à demander à tous les utilisateurs de votre (vos) boutique (s) de changer leur mot de passe, ce qui inclut les utilisateurs du back office mais aussi les comptes clients. Assurez-vous qu'aucun fichier compromis n'est encore présent dans votre boutique auparavant.

Si vous pensez que votre site a été piraté, contactez -nous !

 

La liste des modules impactés (non exhaustive/ Mise à jour en direct)

Certains modules sont impactés:

  • 1-Click Upgrade (autoupgrade): versions 4.0 beta and later
  • Cart Abandonment Pro (pscartabandonmentpro): versions 2.0.1~2.0.2
  • Faceted Search (ps_facetedsearch): versions 2.2.1~3.0.0
  • Merchant Expertise (gamification): versions 2.1.0 and later
  • PrestaShop Checkout (ps_checkout): versions 1.0.8~1.0.9

Nous avons publié des versions mises à jour pour ces modules qui suppriment complètement la bibliothèque associée de leurs propres dépendances:

  • 1-Click upgrade: v4.10.1
  • Cart Abandonment Pro: v2.0.10
  • Faceted Search: v3.4.1
  • Merchant Expertise: v2.3.2
  • PrestaShop Checkout: v1.2.9

Sachez que si vous avez installé dans le passé une version impactée de ces modules, les fichiers PHPUnit peuvent toujours être présents sur votre serveur. Seules ces versions nouvellement publiées s'assurent que PHPUnit n'est plus présent dans leur propre répertoire de fournisseurs.

Les modules et les thèmes d'autres fournisseurs peuvent également être vulnérables. Attendez-vous à des mises à jour à suivre bientôt.

Si vous pensez que votre site a été piraté, contactez -nous !

VOUS SOUHAITEZ ÊTRE ACCOMPAGNÉ DANS VOTRE démarche marketing digital ?
N'hésitez pas à nous contacter dès à présent !
Julien GAUTHIER
Créateur de solution sur-mesure sur La Baule. J'accompagne les entreprises de toutes tailles dans leur stratégie d'acquisition et de visibilité sur le web.

A PARTAGER

Diversifier vos contenus pour votre site internet, et si vous pensiez au podcast ?

Lire la suite de l'article ?

Etat des lieux du marketing digital

Lire la suite de l'article ?

WordPress 5.7 : Les changements techniques à venir en mars

Lire la suite de l'article ?

Top 5 des meilleures solutions d'emailing du marché

Lire la suite de l'article ?

Pourquoi refaire son site internet ?

Lire la suite de l'article ?

Gagnez en visibilité grâce à la rédaction de contenus pour le web

Lire la suite de l'article ?

Comment optimiser son site Internet ?

Lire la suite de l'article ?

Référencement naturel ou référencement payant : lequel choisir ?

Lire la suite de l'article ?

Aides financières pour le numérique pour votre entreprise ?

Lire la suite de l'article ?

Tous les smileys, emoji, émoticône pour vos articles "à copier coller"

Lire la suite de l'article ?

Expert SEO : Compétences et techniques de référencement

Lire la suite de l'article ?

Ranker sur Google : Astuces d’Experts

Lire la suite de l'article ?

Les meilleures applications pour gérer ses réseaux sociaux en 2021

Lire la suite de l'article ?

L’Impact du Nom de Domaine d’un Site Web sur le Référencement

Lire la suite de l'article ?

5 étapes pour bien référencer son site sur Internet

Lire la suite de l'article ?

Botnet KashmirBlack cible les CMS WordPress, Joomla, Drupal, etc.

Lire la suite de l'article ?

Quel tarif pour un site web ecommerce ?

Lire la suite de l'article ?

Comment être mieux référencé sur sa boutique ecommerce ?

Lire la suite de l'article ?

Bien rédiger un article de blog

Lire la suite de l'article ?

Créer un lien facilement pour permettre aux clients de rédiger des avis

Lire la suite de l'article ?

Changer nom de domaine WordPress les requêtes SQL

Lire la suite de l'article ?

Créer un logo gratuit : Les 3 meilleurs générateurs de logo

Lire la suite de l'article ?

Créer un persona gratuitement

Lire la suite de l'article ?

Comment fonctionne Google AdWords ?

Lire la suite de l'article ?

Cache WordPress - Les secrets d'un site rapide

Lire la suite de l'article ?

Comment créer une page web ?

Lire la suite de l'article ?

Chèque numérique pour un commerce connecté

Lire la suite de l'article ?

20 Styles of animated borders in CSS for a modern site

Lire la suite de l'article ?

How to convert WebP images to speed up your website

Lire la suite de l'article ?

Comment convertir des images WebP pour accélérer votre site Web

Lire la suite de l'article ?

CSS animated button and checkbox for a modern design

Lire la suite de l'article ?

Bouton animé CSS et checkbox pour un design moderne

Lire la suite de l'article ?

Prestashop : Faille de sécurité critique dans les modules

Lire la suite de l'article ?

8 CSS HTML5 JS carousels for modern website

Lire la suite de l'article ?

8 carrousels en CSS HTML5 JS pour site web moderne

Lire la suite de l'article ?

Zoom sur la version WordPress 5.3 "Kirk"

Lire la suite de l'article ?

Pourquoi la vitesse de votre site web est importante ?

Lire la suite de l'article ?

Les questions les plus fréquentes sur WordPress

Lire la suite de l'article ?

Top 5 outils SVG gratuit pour le graphisme et le design

Lire la suite de l'article ?

Les questions les plus fréquentes sur Prestashop

Lire la suite de l'article ?

Tout savoir sur PrestaShop

Lire la suite de l'article ?

Comment rendre son site Web éco-responsable ?

Lire la suite de l'article ?

Zoom sur la version 5.2 de WordPress

Lire la suite de l'article ?

Combien coûte la création d’un site internet ? Prix d'un site internet

Lire la suite de l'article ?

Entreprise : pourquoi créer un site web ?

Lire la suite de l'article ?

20 Styles de bordures animées en CSS pour un site moderne

Lire la suite de l'article ?

Qu'est-ce que le développement informatique ?

Lire la suite de l'article ?

.dev, un nouveau TLD pour les développeurs

Lire la suite de l'article ?

C'est quoi l'autorité de domaine ?

Lire la suite de l'article ?

Comment évaluer l'efficacité d'un site web ?

Lire la suite de l'article ?

Inbound Marketing, Boostez votre chiffre d'affaires

Lire la suite de l'article ?

Pages Jaunes Solocal VS agence de référencement

Lire la suite de l'article ?

Quelle est la recette d'un bon site Internet ?

Lire la suite de l'article ?

Quelles sont les méthodes de travail d'un développeur web ?

Lire la suite de l'article ?

Quel CMS choisir en fonction de mon site ?

Lire la suite de l'article ?

Les tendances du développement web

Lire la suite de l'article ?

La planification : une maitrise à ne pas négliger

Lire la suite de l'article ?

Les 15 termes du développement web à connaître

Lire la suite de l'article ?

Quelles sont les étapes d'une refonte d'un site web ?

Lire la suite de l'article ?

Le coût d'un retour en arrière.

Lire la suite de l'article ?

Comment définir une stratégie digitale efficace ?

Lire la suite de l'article ?

Qu'est-ce que la stratégie digitale ?

Lire la suite de l'article ?

Pourquoi avoir un site responsive web design et mobile compliant ?

Lire la suite de l'article ?

Pourquoi avoir un site sécurisé HTTPS SSL ?

Lire la suite de l'article ?

Quelles sont les étapes de création d'un site internet ?

Lire la suite de l'article ?

Les avantages de faire appel à une agence Web Marketing

Lire la suite de l'article ?

Indexation ! Optimiser son site e-commerce mobile first?

Lire la suite de l'article ?

Les nouvelles tendances du SEO en 2018

Lire la suite de l'article ?

Mais pourquoi mes emails arrivent en SPAM ?

Lire la suite de l'article ?

Pourquoi intégrer la vidéo à sa stratégie marketing ?

Lire la suite de l'article ?

8 raisons d'incorporer INSTAGRAM à sa stratégie

Lire la suite de l'article ?

Pub Digital Media : Forte croissance du search et des réseaux sociaux

Lire la suite de l'article ?
Newsletter
Chaque mois, 
1 email, 3 articles. 
Gratuit pour toujours.
Prêt pour parler de votre projet ? Contactez-nous
menuchevron-down