Artykuł dotyczy przede wszystkim modułu jmsslider do wersji Prestashop 1.6. Chociaż łaty na moduł jmsslider do PrestaShop 1.7 też autor dodatku udostępnia.
Jeśli posiadasz szablon sklepu internetowego kupiony od popularnego dość autora joommasters.com możesz posiadać dostarczony z nim moduł jmsslider. Czyli po prostu slider zdjęć na stronę główną. Niestety moduł w wersji jmsslider-1.6.0 posiada niebezpieczną lukę bezpieczeństwa. Jest źle napisany i pozwala na niekontrolowany upload praktycznie każdego pliku do sklepu internetowego. Np. pliku PHP, który przejmuje kontrolę nad serwerem (tzw. exploit).
Należy tutaj podkreślić, że nie jest to dziura samego sklepu internetowego PrestaShop. Skrypt jest przemyślanie napisany i w trakcie naszej wieloletniej praktyki na tym oprogramowaniu praktycznie nie spotkaliśmy się z podatnościami na włam jak np. w przypadku innych darmowych CMS. Tutaj „dziurę” stanowi źle napisany dodatek do skryptu (moduł)
Piszę to na podstawie własnych doświadczeń naszego zespołu. Istotnie w przypadku paru sklepów internetowych, które obsługujemy obserwowalismy wykorzystanie tego dodatku przez hakerów. Były tam wgrywane złośliwe pliki PHP, nastepnie taki serwer był wykorzystywany do masowej wysyłki SPAM.
Przeważnie w folderze:
modules/jmsslider/views/img/layers
Pojawiały się złośliwe pliki PHP, które infekowały cały serwer.
Na szczęście wydawca dostarczył łatę: https://www.joommasters.com/index.php/blog/tutorials-and-case-studies/how-to-fix-security-bug-of-slider-security-breach-of-theme.html
Jak widać pod spodem wpisu autora są gotowe pliki naprawiające działanie modułu.
Jeśli strona jest już niedostępna przygotowaliśmy mirror z tej strony ze spakowanymi wszystkimi plikami:
[MD5sum: 7e45a536f77c8c241bbcdb1263833f1e]
Jeśli posiadasz moduł jmsslider w swoim sklepie internetowym koniecznie sprawdź jego kod pod kątem takich zagrożeń. Czyli porównaj kod źródłowy z łaty z tymi co są na Twoim serwerze.
Uwaga mogą być konieczne dodatkowe prace sprawdzające zagrożenia na Twoim sklepie. Skorzystaj z naszej oferty:
grafika: wallpaperaccess.com