PHPUnit je framework pro psaní jednotkových testů v programovacím jazyce PHP a je používaný i při vývoji Prestashopu. Nástroj slouží jen pro vývoj a neměl by být distribuován s moduly nebo jinde v aplikaci, v některých případech se tak ale stalo (ZIP archivy atd.). Aktuálně je známá bezpečnostní chyba v PHPUnit, která umožňuje útočníkovi spustit PHP kód a tím číst databázi, nahrávat a měnit soubory a instalovat další malware. 

Doporučujeme tedy, abyste si prohlédli složky všech modulů a pokud některý obsahuje adresář "/vendor/phpunit/", smažte je. Modul bude bez PHPUnit fungovat stejným způsobem. U 1.7 verze prohlédněte i složku vendor, zda přímo v ní není také složka phpunit. Složku /vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/ můžete ponechat. Název problémového souboru přes který lze provést útok je eval-stdin.php, můžete tedy také hledat přímo tento soubor na celém serveru.

Mezi nejběžnější postižené moduly patří:
- autoupgrade
- ps_facetedsearch
- gamification

Smazání souborů neřeší případ, kdy již byl eshop pomocí této zranitelnosti infikován malwarem. 

Pokud máte zájem o prohlídku Vašeho eshopu a opravu dalších známých bezpečnostních chyb, nebo například zabezpečení formulářů, můžete nás kontaktovat.

Comments