Обнаружена критическая уязвимость PrestaShop (CVE-2018-19126)
22/01/2019
Уязвимость зарегистрирована под номером CVE-2018-19126 - является критической и позволяет выполнять команды командной строки (то есть, фактически, можно управлять компьютером). Вместе с ней были найдены еще две уязвимости: CVE-2018-19125, CVE-2018-19124.
Условия для удаленного выполнения команд на компьютере с уязвимой PrestaShop:
- У расширения PHP phar выключен режим «только для чтения», т.е.: phar.readonly = Off
- Злоумышленнику известен URL к бэкофису и логин / пароль к любой учетной записи (например, учетная запись для демонстрационного доступа или даже без прав).
Исправленные версии PrestaShop (без уязвимости): 1.7.4.4 и более новые, 1.6.1.23 и более новые.
Как обезопасить вашу PrestaShop, если обновление вы не планируете или пока не можете сделать?:
- У расширения PHP phar включите режим «только для чтения», т.е.: phar.readonly = On
- Отключите неиспользуемые и не доверенные учетные записи; поменяйте пароли используемых учетных записей.
Известные уязвимости, включая эту, вам поможет выявить бесплатный модуль «Инструмент для технического обслуживания» или бесплатный инструмент проверки уязвимостей.
Куда обратиться за исправлением проблемы? Вы можете воспользоваться услугой «Час работы программиста» или «Апгрейд PrestaShop до новейшей версии».
Чтобы быть в курсе проблем безопасности PrestaShop, подписывайтесь на новостную рассылку.
Все новости