Скрипт Инструмент проверки уязвимости
для PrestaShop 1.7, 1.6, 1.5, 1.4, 1.3
Вопросы?
Описание
Краткое описание
Инструмент и библиотека для проверки PrestaShop на известные уязвимости. Чтобы быть в курсе проблем безопасности PrestaShop, подписывайтесь на новостную рассылку.
Как проверить на уязвимости
Скопируйте папку prestashop-security-vulnerability-checker
в корень сайта (там, где расположены фалы index.php, init.php и другие). Запустите скрипт через веб-браузер или через консоль, например:
- Запуск через веб-браузер:
http://localhost/prestashop-security-vulnerability-checker/index.php
- Запуск через консоль:
php index.php
После проверки удалите папку с инструментом.
Пример отчёта
SECURITY CHECK: [Not exists] : CVE-2018-19355 : Security vulnerability (7.5/10) with the module OrderFiles. Solution: update the module, remove or fix vulnerable files. There is no information about vulnerable OrderFiles module version and about the author of the module. If you have the information, contact with me: https://prestashop.modulez.ru/en/contact-us?id_product=70 [Not exists] : CVE-2018-19126 | CVE-2018-19125 | CVE-2018-19124 : Security vulnerability (7.5/10). The explanation: https://prestashop.modulez.ru/en/news/51 [Not exists] : CVE-2018-13784 : Security vulnerability (6.4/10). More info: http://build.prestashop.com/news/prestashop-1-7-3-4-1-6-1-20-maintenance-releases/ [Not exists] : CVE-2018-8824 | CVE-2018-8823 : Security vulnerability (7.5/10) with the "Responsive Mega Menu (Horizontal+Vertical+Dropdown) Pro" module v1.0.32. Solution: update the module, remove or fix vulnerable files. The module on Addons: https://addons.prestashop.com/en/menu/20464-responsive-mega-menu-horizontaldropdownswipesticky.html [Exists] : CVE-2018-7491 : Security vulnerability (5/10). This is UI-Redressing/Clickjacking vulnerability. More info: https://github.com/PrestaShop/PrestaShop/pull/8807 [Exists] : CVE-2018-5682 : Security vulnerability (5/10). The attacker can review existent emails of employees and customers. More info: http://forge.prestashop.com/browse/BOOM-4613 [Exists] : CVE-2018-5681 : Security vulnerability (3.5/10). More info: http://forge.prestashop.com/browse/BOOM-4612 [Exists] : CVE-2017-9841 : Security vulnerability (7.5/10). Potentially malicious files found: "/vendor/symfony/symfony/src/Symfony/Component/ClassLoader/Tests/Fixtures/ClassesWithParents/F.php". Solution: remove or fix vulnerable files. More info: https://www.prestashop.com/en/security-announcement-your-store-vulnerable-malware [Not exists] : CVE-2015-1175 : Security vulnerability (4.3/10) with the BlockLayered module v2.0.5 or less. Solution: update the module, remove or fix vulnerable files. The module on GitHub: https://github.com/PrestaShop/blocklayered [Not exists] : CVE-2012-6641 : Security vulnerability (5/10) with the SoColissimo module in PrestaShop before 1.4.7.2. Solution: update the module, remove or fix vulnerable files. The module on GitHub: https://github.com/quadra-informatique/SoColissimo-3.x-Prestashop [Not exists] : CVE-2012-5801 | CVE-2012-5800 | CVE-2012-5799 : Security vulnerability (5.8/10) with the PayPal, ebay, CanadaPost (Presto-Changeo) modules. There is no information about issue for a concrete version of PrestaShop and a version of PayPal, ebay, CanadaPost (Presto-Changeo) modules. More info: https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf [Not exists] : CVE-2011-4545 : Security vulnerability (5/10). Solution: update your PHP to at least the last of 5.6. More info: https://www.dognaedis.com/vulns/DGS-SEC-7.html [Not exists] : CVE-2011-4544 : Security vulnerability (4.3/10) with the "mondialrelay" module and "ajaxfilemanager" script. More info: https://www.dognaedis.com/vulns/DGS-SEC-5.html [Not exists] : CVE-2011-3796 : Security vulnerability (5/10). Allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message. [Not exists] : CVE-2008-5791 | CVE-2008-6503 : Security vulnerability (10/10). Solution: upgrade or remove your PrestaShop 1.1 ;) [Not exists] : Outdated version of PrestaShop : Actual versions of PrestaShop are 1.6 and 1.7. Solution: upgrade. How to do this: https://prestashop.modulez.ru/en/services/28-prestashop-upgrade-to-newest-16-17-by-zapalm-4-hours.html ------ ATTENTION: Your website has 4 security issues! The vulnerability with the score of 10 is the most dangerous and vice versa for the score of 1.
Как помочь проекту расти и получать обновления
Напишите отзыв на вкладке комментариев. И это всё! :)
Информация для продвинутых пользователей
Проект на GitHub: https://github.com/zapalm/prestashop-security-vulnerability-checker
Характеристики
- Совместим с версиями PrestaShop: 1.7, 1.6, 1.5, 1.4, 1.3
- Совместим с версиями PHP: 5.2 или новее
- Установка: обычная
- Использует систему переопределения классов PrestaShop: нет
- Модифицирует ядро: нет
- Поставляется с документацией: нет
- Включает бесплатные консультации: нет
- Переведён на языки: EN
- Версия: 1.3.0 (2022-10-29)
- Лицензия: Открытая лицензия на ПО
- Тип товара: Скрипт
Благодарю за похвалу :) Идея про новый модуль хорошая! К сожалению, у меня не хватает мотивации делать и постоянно совершенствовать бесплатные программы. Мало кто понимает, что такая работа занимает не мало времени даже у профессионала, т.к. часто бывает много нюансов и их требуется тщательно изучать. В общем, вы один из редких пользователей, кто хотя-бы мне написал отзыв ;)) Так что я буду делать только то, что мне хочется и то, за что мне платят ;)
Макс, благодарю тебя за создание таких качественных инструментов! Вот, смотрю, еще появился это по проверке уязвимостей, да еще и бесплатный! Молодец! Хорошо бы сделать модуль, чтобы использовал твой инструмент и автоматически по расписанию проверял на уязвимости!
v1.0.0 (2019-02-04) + первый релиз инструмента для PrestaShop 1.3, 1.4, 1.5, 1.6, 1.7 v1.0.1 (2019-02-08) + исправлена проверка версии PHP v1.2.0 (2021-10-31) + добавлена проверка уязвимостей безопасности: CVE-2017-9841, CVE-2008-6503, CVE-2008-5791 + некоторые улучшения в коде v1.3.0 (2022-10-29) + добавлена проверка уязвимости безопасности CVE-2022-31181 + заменен синтаксис объявления массива с сокращённого на традиционный, сделанный в предыдущем релизе (чтобы вернуть поддержку PHP ниже 5.4)
Выпустил новый релиз.
Из самого главного - добавил проверку критической уязвимости PrestaShop (CVE-2017-9841). Эта уязвимость не новая, но до сих пор актуальная. Уязвимость связана с возможностью выполнять произвольный код на сайте, если злоумышленник обнаружит на сайте файл eval-stdin.php, который входит в состав файлов системы тестирования PHPUnit (этот файл есть только в старых версиях этой системы). Правда, уязвимость можно воспроизвести при нескольких условиях, поэтому, наличие файла и доступ к нему ещё не означает, что сайт можно взломать (пока). Тем не менее, старые сайты, которые не поддерживаются своими обладателями - потенциально уязвимы.
В сети достаточно примеров, как проверить эту уязвимость и исправить, но почти все те примеры, что я нашёл - сложно применить обычному пользователю, да и продвинутому пользователю потребуется какое-то время. С помощью моего скрипта проверка делается проще. Похоже, я сделал решение задачи лучше, чем другие, потому что проверяется также список потенциально заражённых файлов и, не производится поиск и удаление директорий phpunit (последнее - это не просто неверно, так и ещё может остановить работу сайта в некоторых случаях).
А ещё я обновил свой бесплатный модуль "Инструмент для технического обслуживания", которой теперь использует библиотечный код, включённый в директорию с этим скриптом - так, что теперь проверить сайт - это несколько кликов мыши. Пользуйтесь модулем для проверки - это проще всего, но если сайт на старых версиях PrestaShop (1.4 или ещё старее), то воспользуйтесь этим скриптом, потому что модуль не предназначен для на столько старых версий PrestaShop.
Буду признателен за ваш отзыв на этой странице комментариев. Поставьте лайк комментарию, если вам понравился этот релиз :)