Информация Уязвимость шаблона Warehouse для Presta

[marvinz]

ВНИМАНИЕ: если на сайте шаблон с модулями версии ниже 3.7.7 то существует опасность дефейса и заражения сайта!

--- ЧТО ДЕЛАТЬ ---

1) Исправления для модулей, в которых наблюдаются уязвимости в безопасности с инструкцией качаем по ссылке:
Для просмотра ссылки Войди или Зарегистрируйся
(файл от andrew.irpin )

проверить что фикс удачно установлен можно перейдя по ссылке
Для просмотра ссылки Войди или Зарегистрируйся - должна открыться пустая страница

2) Скачать файлы сайта и проверить утилитой Айболит на заражение
скачать: Для просмотра ссылки Войди или Зарегистрируйся
положить файлы сайта в подпапку программы Site, запустить start.bat и после отработки скрипта посмотреть файл с отчетом в браузере AI-BOLIT-REPORT.html
(совет от _sashok)


--- Прошу модераторов перенести в эту тему следующие посты ---
* все перенесено в эту тему, спасибо!

 

[aleksey_z]

Для просмотра ссылки Войди или Зарегистрируйся, в вашем случае до вас никто еще не добрался, все хорошо. вообще все сообщения по уязвимости варехауса предлагаю вынести из данного топика.

да, надо вынести в другую тему. Думаю вопросы еще будут, и не только у меня.

 

[_sashok]

думаю - что нужно обновить престу до 1.6.1.6 и тему до 3.8
и пока вздохнуть спокойно (предварительно вычистив всю какусю и изменив пароли)

тут обнова:
Для просмотра ссылки Войди или Зарегистрируйся

 

[marvinz]

после обновления темы на последнюю версию, переход по адресу
Для просмотра ссылки Войди или Зарегистрируйся
должен выдавать “User is not logged in” или “no file”. (у меня первое выдает)

ЕСЛИ СООБЩЕНИЕ ДРУГОЕ, ТО ВЫ НЕ ИСПРАВИЛИ УЯЗВИМОСТЬ!

 

[Gero]

А если пишет error????

 

[sergp]

Проверил сайт aibolit -ом , помогите разобраться, это ложные срабатывания или это зараза?

 

[_sashok]

А если пишет error????

значит 100% уязвимость есть на сайте в модуле

 

[_sashok]

Проверил сайт aibolit -ом , помогите разобраться, это ложные срабатывания или это зараза?

да - в папку slides закачали заразу

значит в любом случае "индус" тут был - нужно смотреть внимательнее

 

[hitbaby]

Привет. Кто разобрался, какой Фикс есть последний и правильный.
По-сравнивал файлы Фикса и файлы модулей из последней обновы 3.7.9 И файлы с Фикса, выложенного на форуме - несколько озадачен или запутался.
Фикс с обновы 3.7.9 - в папках модулей заменяемые файл/файлы.
Обнова 3.7.9 модули (с якобы уже исправленными файлами, если правильно понял с их описания).
1. Advancedslider и Videostab - файлы идентичны.
2. Columnadverts - слева фикс с темы 3.7.9 - справа модуль с обновы 3.7.9 файл columnadverts.js Посмотреть вложение 73903,
uploadimage.php Посмотреть вложение 73904, Посмотреть вложение 73905, кол-во файлов в фиксе из обновы Посмотреть вложение 73906 и из фикса с форума разное Посмотреть вложение 73907, и в них
тоже отличия Посмотреть вложение 73908, другие пока не сравнивал.
3. В модулях homepageadvertise, homepageadvertise2, productpageadverts, simpleslideshow- слева фикс с темы 3.7.9 - справа модуль с обновы 3.7.9
homepageadvertise.js Посмотреть вложение 73909 uploadimage.php Посмотреть вложение 73910 Посмотреть вложение 73911 homepageadvertise2.js Посмотреть вложение 73912 и далее идентично. С файлами Фикса с форума пока не сравнивал.

Как разобраться с фиксами?

security hotfix выложенный в этой теме ранее от 21 06 2016.
Самый последний security hotfix от автора (25 06 2016) с разными файлами For Prestashop 1.5 и For Prestashop 1.6
выложен в Для просмотра ссылки Войди или Зарегистрируйся

 

[aleksey_z]

security hotfix выложенный в этой теме ранее от 21 06 2016.
Самый последний security hotfix от автора (25 06 2016) с разными файлами For Prestashop 1.5 и For Prestashop 1.6
выложен в Для просмотра ссылки Войди или Зарегистрируйся

фикс не применял (просто сравнивал файлы), обновился с 3.7.9 до 3.8.