La vulnerabilità è stata scoperta a gennaio 2020, e affligge le versioni alcuni moduli e versioni di PrestaShop sia 1.7 che 1.6. Il problema è stato risolto in PHPUnit 7.5.19 e 8.5.1. A distanza di anni sono ancora molti gli ecommerce non aggiornati che presentano questa vulnerabilità.
Alcuni dei moduli che sono risultati vulnerabili:
- PS Checkout (Prestashop Checkout) – Versioni 1.0.8 e 1.0.9
- OneClick Upgrade (Aggiornamento in 1 click) – Versioni 4.x
- Cart Abandonment Pro (Carrelli Abbandonati) – Versioni 2.0.1 e 2.0.2
- Faceted Search (Ricerca per Aspetti) – Versione 3.0.0
- Merchant Expertise (gamification): versions 2.1.0 and later
Come verificare se il mio ecommerce è vulnerabile?
È indispensabile controllare i propri moduli se all’interno degli stessi è presente la cartella “vendor” e all’interno della stessa un’altra cartella nominata “phpunit” e la sua versione, se è tra quelle problematiche un malintenzionato potrebbe avere accesso ai file e caricare malware o addirittura potrebbe averlo già fatto.
Come proteggersi?
Nella maggioranza dei casi è possibile cancellare semplicemenrte la cartella/vendor/phpunit da tutti i moduli che la presentano senza comprometterne i funzionamento. È consigliabile poi aggiornare il moduli all’ultima versione disponibile.
Si dovrà inoltre controllare la cartella: <prestashop_directory>/vendor
Se avete accesso SSH al vostro SERVER/VPS linux potete utilizzare il seguente comando:
find . -type d -name "phpunit" -exec rm -rf {} \;
Attenzione: questo non esclude che il proprio ecommerce possa già essere stato compromesso.