Alerte de securité : Prestashop vulnérable aux malwares

Dans un communiqué rendu public le mardi 7 janvier 2020, Prestashop, leader mondial des solutions e-commerce opensource annonce le 2 janvier 2020 avoir découvert un malware appelé XsamXadoo Bot.
Ce malware peut être utilisé pour avoir accès à une boutique en ligne et en prendre le contrôle.

Le communiqué indique que ce bot pourrait avoir utilisé une vulnérabilité connue de l’outil PHP PHPUnit, précédemment identifiée (CVE-2017-9841).

Comment savoir si ma boutique est vulnérable?

Pour savoir si votre boutique est vulnérable à un malware, voici la procédure à suivre. Si nous n’êtes pas à l’aise dans la manipulation des fichiers sur votre serveur, contactez une personne qualifiée.

  1. Sur votre serveur, regardez le dossier Vendor, à la racine de votre site PrestaShop. Si le dossier Vendor contient un dossier “phpunit”, vous pouvez être vulnérable à une attaque extérieure.
  2. Vous pouvez simplement supprimer le dossier “phpunit” et son contenu.
Une fois que vous avez vérifié le dossier principal PrestaShop, il vous suffit de répéter ces étapes pour chacun des dossiers de modules :
  1. Dans chaque dossier module, vérifiez s’il y a un dossier Vendor.
  2. Dans le dossier Vendor de chacun de ces modules, vérifiez s’il y a un dossier “phpunit”.
  3. Si un dossier module contient le dossier “phpunit”, ce module peut vous rendre vulnérable à une attaque extérieure.
  4. Supprimez le dossier “phpunit”.
Vérifiez à nouveau que chaque dossier Vendor ne contient plus un dossier “phpunit”.

Le fonctionnement des modules ne sera pas affecté. Cette simple étape protègera votre boutique en ligne de cette vulnérabilité, mais il est important de préciser que votre site a peut-être déjà été touché par le malware.

→ Si vous n’avez pas trouvé de dossier contenant le dossier phpunit, votre boutique n’est pas vulnérable.

A propos de l'auteur

Donia Hamouda

Co-Founder & Business Development Manager
Dyxis - Cloud Provider
janvier 2015 – Aujourd’hui
Tunisie - Canada
Dyxis - SSI
SSII spécialisée en web engineering, Business Intelligence, Solutions Métier SaaS
Online Payment / Sécurité informatique / CMS
Mesure d’audience TV & Monitoring Media
E-tourisme / Billetterie électronique
Cloud computing et virtualisation de datacenter
Hosting & Streaming solutions
Kyntis - Marketing & Training Solutions – Kyntis Marketing, Digital & Training Solutions

par Donia Hamouda le mercredi 08 janvier 2020 |

Ce site utilise des cookies


En poursuivant votre navigation, vous acceptez l’utilisation, de la part de Dyxis et de tiers, de cookies et autres traceurs à des fins techniques, statistiques, partage avec les réseaux sociaux, profilage, personnalisation des contenus et publicité personnalisée sur nos services et ceux de nos partenaires.

Paramètres