Информация Prestashop Security

Major Security Vulnerability On PrestaShop Websites​

A NEWLY FOUND EXPLOIT COULD ALLOW REMOTE ATTACKERS TO TAKE CONTROL OF YOUR SHOP.​

Written by
PrestaShop team

Published
Jul 22, 2022

Для просмотра ссылки Войди или Зарегистрируйся
Вам ещё нужны аргументы, чтобы обновиться наконец ?

И не думайте, что ваш сайт никому не нужен...

Рашисты и другие недоброжелатели - не спят, и любой сайт или сервер можно использовать для своих тёмных делишек

 

[byura]

доп информация

Для информации, файл blm.php удаляется после инъекции.
Файл XXXXXX.js создается в каталоге /js сайта.
Он генерируется из PHP-инъекций, сделанных в нескольких php-файлах:
- /classes/Controller.php (Добавлено в функции smartyOutputContent())
- /classes/Db/Db.php (добавлено в конце файла)
- /controllers/AdminLoginController.php (добавлен в функцию processLogin()) Касается только 1.5/1.6
- /classes/modules/Module.php (добавлен в конец файла) и модификация функции _generateConfigXml()

В итоге ваши платежные модули становятся невидимыми и заменяются страницей платежа со всей информацией о платеже (сумма, страна, происхождение, контактные данные и т.д.), а в китайском магазине формируется заказ на ту же сумму в китайский банк.
Если клиент подтверждает 3DSecure, то платеж подтверждается.

 

[Semg]

Хотите проверить, взломан ли ваш сайт? Воспользуйтесь нашим веб-инструментом и введите имя своего домена вместо « domain.tld»
: Для просмотра ссылки Войди или Зарегистрируйся domain.tld
Если ваш домен, например, mydomain.cz, введите:
https:// /www.openservis.cz/pedido_checker.php?url=mojedomena.cz
Просто откройте указанный URL-адрес в своем браузере.

Мой магазин пишет что чисто

 

[byura]

доп проверяем: если включен умный кеш mysql переключаем на кеш файловой системы
Prestashop 1.6/1.7 уязвимы при включении этой функции.

 

[_sashok]

и следите за актуальностью каждого модуля

самое простое в данном случае:
полностью удалить файлы модуля blockwishlist
тем более если не пользуетесь ним

а свежие версии лучше брать в официальном французском репозитории:

blockwishlist 2.1.1 - уже там месяц как лежит пофиксенный )

Для просмотра ссылки Войди или Зарегистрируйся

 

[savvato]

скрипт для устранения вируса на зараженном сайте.
Для просмотра ссылки Войди или Зарегистрируйсябольше информации на этой Для просмотра ссылки Войди или Зарегистрируйся

 

[artfull]

 

[byura]

Этот бесплатный модуль может сканировать ваш сайт на наличие уязвимостей и помочь вам создать безопасную среду.
Модуль также предназначен для удаления вредоносных программ с зараженных сайтов!
Шаг 1: Загрузите последнюю версию модуля: Для просмотра ссылки Войди или Зарегистрируйся
Шаг 2: Установите модуль на свой сайт PrestaShop.
Шаг 3. Откройте модуль и нажмите «Запустить процесс очистки».
Модуль требует PrestaShop 1.6.1+ и PHP 7.0.

 

[Freiserk]

New version fixed 1787 download:

Для просмотра ссылки Войди или Зарегистрируйся
And link for merge fix:

Для просмотра ссылки Войди или Зарегистрируйся
Grettings.

 

[sergiykhd]

Мануальне усунення дірки

Знайдіть файл config/smarty.config.inc.php у вашій установці PrestaShop і видаліть рядки 43-46 (PrestaShop 1.7) або 40-43 (PrestaShop 1.6

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}