PrestaShop PHPUnit vulnérabilité sur modules

Situation

Depuis le début de l'année 2020 et la remontée d'information d'un utilisateur de PrestaShop, il semble qu'une faille puisse exister sur certains modules PrestaShop principalement sur la version 1.7 de PrestaShop.

Il apparait que la faille utilisée soit liée aux tests unitaire proposés par la solution PHPUnit et référencée sous le numéro CVE-2017-9841.

Cet outil, présent lors du développement des modules PrestaShop, est normalement retiré de l'archive du module lors de sa diffusion, mais il semble que cela n'est pas été fait par PrestaShop à chaque fois.

PrestaShop aborde le sujet dans ce document.

Solution

En prévention, il faut nettoyer tous les modules pouvant avoir ces fichiers dans son code, pour ce faire il suffit de les effacer en utilisant cette fonction sur votre terminal d'accès SSH de votre hébergement

find . -type d -name "phpunit" -exec rm -rf {} \;

Avant de lancer cette action d'effacement, j'aime bien savoir ce qui va être effacé pour éviter les erreurs, donc vous pouvez lancer en premier cela

find . -type d -name "phpunit"

Bien entendu, outre l'effacement des fichiers PHPUnit, il faut contrôler l'ensemble de fichiers présent sur votre installation PrestaShop pour identifier les fichiers malveillants pouvant interférer avec le fonctionnement normal de votre boutique.

Si vous ne savez pas comment faire vous pouvez commander un ticket d'intervention sur mon site pour que j'intervienne rapidement pour vous.
Commander une intervention