我们的prestashop 1.4.5.1遭到黑客入侵, 我找到了以下https://www.youtube.com/watch?v=HXbDNPh0aTc
我想知道:
有关它或任何其他已知漏洞的任何信息。
如何修复
哪个版本有效。
谢谢,
答案 0 :(得分:1)
这只是一个写得很糟糕的模块,而且漏洞已知。使用哪个版本的Prestashop并不重要。
uploadimage.php没有检查管理员会话和文件类型:
<?php
$uploaddir = './slides/';
$uploadfile = normalize(preg_replace('/ /', '_', basename($_FILES['userfile']['name'])));
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir . $uploadfile)) {
echo "success:".$uploadfile;
} else {
echo "error";
}
...
它不是唯一有问题的模块。