Comment résoudre la vulnérabilité de modules PrestaShop liée à PHPUnit
Une faille de sécurité importante a été découverte sur PrestaShop pouvant impacter plusieurs modules.
En exploitant cette faille, des pirates pourraient être en mesure de créer des fichiers sur les boutiques, leur permettant ensuite de prendre le contrôle du site.
Cette faille provient d’une vulnérabilité liée à un outil de test présent sur certains modules, l’outil PHPUnit.
PHPUnit, ne devrait pas être présent sur les modules mais semble avoir tout de même été mis en ligne par erreur sur certains modules, y compris de PrestaShop.
Potentiellement, l’ensemble des boutiques PrestaShop peut être concerné par ce problème et des actions urgentes sont requises.
Nous prenons très au sérieux ce problème et tenons à vous informer au plus tôt.
Des actions ont déjà été effectuées pour l’ensemble des clients hébergés chez 772424.com.
Pour résoudre ce problème, deux scénarios sont donc possibles :
1 – Vous êtes hébergé par 772424.com
Une action a été effectuée en urgence lundi matin par l’équipe de 772424.com afin de supprimer le dossier /vendor/phpunit des modules concernés.
Votre boutique est donc protégée !
Pour aller plus loin : l’équipe de 772424.com est en train de mettre en place une nouvelle sonde de monitoring pour détecter la présence de ce dossier pour les installations futures.
2 – Vous n’êtes pas hébergé par 772424.com
Vérifiez au plus vite si des modules sont concernés par cette faille de sécurité sur votre boutique.
Si vous avez un contrat d’infogérance avec votre hébergeur, nous vous invitons à vérifier avec lui la liste de vos modules.
Si vous n’avez pas de contrat d’infogérance ou que vous souhaitez passer par Profileo pour corriger ce problème rapidement, nous proposons une correction en urgence pour 1 crédit temps (c’est à dire une heure d’intervention, en savoir plus sur les crédit temps.)
Vous avez également la possibilité de vérifier vous même si la vulnérabilité est présente sur votre boutique. Il vous faut alors parcourir l’ensemble des modules du dossier /modules/ afin de détecter si le dossier /vendor/phpunit/ est présent. Si tel est le cas ce dossier doit être supprimé.
Et pour la suite ?
Les modules de PrestaShop sont actuellement en train d’être mis à jour et plusieurs revendeurs devraient en faire autant très prochainement. Il faut par contre rester vigilant et nous vous conseillons de vérifier dans le futur que les modules que vous installez ne contiennent pas ce dossier /vendor/phpunit.
Sachez qu’il existe aussi un accompagnement plus global pour vérifier la sécurité de votre boutique avec le Pack Sécurité.
En cas de doute sur l’intégrité de votre site ou pour vous assurer qu’aucune faille connue n’est présente sur votre boutique, n’hésitez pas à nous contacter via le formulaire suivant – sélectionnez l’objet Webmaster 😉 :
À NOTER : une communication officielle de PrestaShop est en cours.
Image par Darwin Laganzon de Pixabay