Prestashop使用simpleslideshow模块进行攻击

时间:2016-10-20 07:11:03

标签: prestashop

我们的prestashop 1.4.5.1遭到黑客入侵, 我找到了以下https://www.youtube.com/watch?v=HXbDNPh0aTc

我想知道:

有关它或任何其他已知漏洞的任何信息。

如何修复

哪个版本有效。

谢谢,

1 个答案:

答案 0 :(得分:1)

这只是一个写得很糟糕的模块,而且漏洞已知。使用哪个版本的Prestashop并不重要。

来源:https://www.prestashop.com/forums/topic/543471-vulnerability-in-the-modules-simpleslideshow-and-vtemslideshow/

  

uploadimage.php没有检查管理员会话和文件类型:

<?php

$uploaddir = './slides/';
$uploadfile = normalize(preg_replace('/ /', '_', basename($_FILES['userfile']['name'])));


if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir . $uploadfile)) {
  echo "success:".$uploadfile;
} else {
  echo "error";
}

...

它不是唯一有问题的模块。

Major security issues with few modules and themes.