Edit History

Bonjour,

pour ceux qui veulent comprendre et faire les choses proprement :

si vous avez une version de PHPUnit >= 5.6.3, vous n'êtes pas concerné par cette vulnérabilité.
Il suffit donc de vérifier le numéro de version :
 

[..]/vendor/phpunit/phpunit/src/Runner/Version.php

 ligne 33 $version       = new Version('5.7.27', dirname(dirname(__DIR__)));

Pour identifier les modules qui utilisent PHPUnit, une simple recherche du répertoire phpunit ou du fichier eval-stdin.php permet d'obtenir un résultat fiable.
La dépendance de phpunit peut exister à plusieurs emplacements.
Si vous avez un acès SSH, vous pouvez utiliser la commande find pour obtenir l'emplacement exact  :

find /chemin/vers/la/racine/de/votre/site -type d -name "phpunit"

Si vous n'êtes pas familier avec la ligne de commande Linux, vous pouvez simplement télécharger les fichiers de votre site via FTP et effectuer une recherche avec vos outils habituels.
 

On parle ici d'une CVE de 2017, si vous avez un Prestashop et ses modules à jours le risque est minime, cela fait bien longtemps que le problème est traité.
Par contre si vous trouvez une version vulnérable de PHPUnit sur votre site web, d'autres failles sont sans doute également présentes. La bonne pratique serait de réaliser un audit de sécurité et d'installer les mises à jours du CMS et de ses modules.

De manière générale, ce n'est pas en supprimant une dépendance d'un module ou d'un CMS que l'on adresse un problème de sécurité. Il suffit de mettre en place le correctif publié par l'éditeur. Lorsque ce n'est pas possibile ou que l'éditeur est trop lent, on peut bloquer l'accès à un fichier dans la configuration du serveur web. Pour les cas plus complexes, on a  d'autres solutions comme le virtual patching. Bref il y a bien mieux à faire que d'effectuer des suppressions sans se poser de question.

https://nvd.nist.gov/vuln/detail/CVE-2017-9841
https://www.cvedetails.com/cve/CVE-2017-9841/