Accueil > blog > Prestashop > Faille de sécurité Prestashop : fragilité des modules utilisant l’outil PHPUnit
06 Jan 2020

Faille de sécurité Prestashop : fragilité des modules utilisant l’outil PHPUnit

Prestashop, Tutoriel

Mise à jour de l’article le 08/01/2020 : En bas de l’article retrouvez le communiqué officiel sur le sujet par Prestashop.

Le 2 janvier 2020 une faille dans les modules natifs de Prestashop a été détecté. Cela impacte toutes les versions et même si aucun cas de piratage n’a été détecté, il est important de corriger ce problème de sécurité.

Comment trouver la faille de sécurité
Prestashop ?

Le problème est lié à un dossier qui se trouve dans certains modules Prestashop. Vous devez chercher sur votre serveur les modules qui comportent un dossier vendor puis à l’intérieur un dossier phpunit.
Voici ce que j’ai pu trouver sur un site test que j’avais en local :

Si ce dossier phpunit est présent alors votre si est vulnérable à des attaques.

Corriger le problème de sécurité du dossier PHPUnit

Il suffit tout simplement de supprimer les 2 dossiers vendor + PHPUnit. Cela ne va pas compromettre le bon fonctionnement de votre site e-commerce.

Il faut faire cela pour chaque module qui possède les dossiers.

Attention, si vous n’avez pas l’habitude de modifier des fichiers sur votre serveur, une mauvaise manipulation peut engendrer des dysfonctionnements sur votre site. Confiez l’intervention à un professionnel si vous le souhaitez, vous pouvez me contacter depuis ma page contact pour un devis.

Vous pouvez utiliser une autre méthode sur un serveur Linux détaillé ici : https://docs.google.com/document/d/1D76Lj93gw-XZ8GgV8UzK6Oi6u5qLxLDEsC2298Go-as/

Mon site est-il infecté par le XsamXadoo Bot ?

Comment notifié dans le Google doc au-dessus par Prestashop, il n’existe aucun moyen fiable de vérifier si vos données ont été volées. Le bot qui peut intervenir sur votre serveur pour exporter des données s’appelle XsamXadoo.

Il faut vérifier si vous n’avez pas des fichiers indésirables qui se nomment XsamXadoo_Bot.php. Si vous en trouvez, il faut les supprimer.

Prestashop devrait fournir plus d’informations bientôt, l’article sera mis à jour.

Le communiqué de Prestashop sur le problème

Si vous êtes abonnés aux mails de Presta, vous avez du recevoir une explication par mail de la procédure à réaliser.

Voici le lien pour télécharger en PDF le mail de Prestashop : Cliquez ici pour voir le communiqué