totor321 Posted March 18 Share Posted March 18 Bonjour, Comme indiqué dans le titre, je viens de découvrir que si un client essaye de se connecter à son compte avec n'importe quelle combinaison de caractères, ça fonctionne et il arrive sur son espace client..... Inquiète, je suis beaucoup ! Quelqu'un saurait-il où chercher, ce qui peut se passer ? Merci pour vos réponses Link to comment Share on other sites More sharing options...
Eolia Posted March 18 Share Posted March 18 Hum, j'ai un doute. Vous avez essayé avec l'email d'un client ? Link to comment Share on other sites More sharing options...
totor321 Posted March 18 Author Share Posted March 18 oui c'est une cliente qui m'a alerté et j'ai testé plein de comptes différents. Link to comment Share on other sites More sharing options...
Eolia Posted March 18 Share Posted March 18 Version Presta ? Pas de module qui permet de se logger à la place d'un user ? Link to comment Share on other sites More sharing options...
totor321 Posted March 18 Author Share Posted March 18 1.6.1.4 et si superUser Link to comment Share on other sites More sharing options...
Eolia Posted March 18 Share Posted March 18 Essayez en désactivant le superuser. Link to comment Share on other sites More sharing options...
Mediacom87 Posted March 18 Share Posted March 18 il y a 38 minutes, totor321 a dit : 1.6.1.4 et si superUser https://security.friendsofpresta.org/modules/2023/10/26/superuser.html Link to comment Share on other sites More sharing options...
totor321 Posted March 19 Author Share Posted March 19 (edited) non ça ne change rien. Après je vois que la version du module est 2.1. Datée ? ou ça ne change rien ? Edited March 19 by totor321 (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted March 19 Share Posted March 19 Il y a 1 heure, totor321 a dit : Après je vois que la version du module est 2.1. Datée ? ou ça ne change rien ? Citation The module “idnovate” for PrestaShop incorrectly restricts access to the “connect as” feature from >= 2.3.5 and < 2.4.2 lets an attacker connect as any customer account. Release 2.4.2 fixed this security issue. Il y a 1 heure, totor321 a dit : non ça ne change rien. En le désinstallant, le problème n'est pas corrigé ? Des overrides des modifications du cœur, un système de cache particulier ? Link to comment Share on other sites More sharing options...
totor321 Posted March 19 Author Share Posted March 19 superuser désinstallé, pas de changement, pas d'override sur ce module ou concernant les utilisateurs et pour le coeur non plus Pour le patch https://security.friendsofpresta.org/modules/2023/10/26/superuser.html, c'est pour ça que je parlais de ma version un peu ancienne car je ne vois meme pas où l'appliquer puis qu'il n'y a pas de dossier front dans les controllers . Link to comment Share on other sites More sharing options...
Eolia Posted March 19 Share Posted March 19 Pas d'override de la classe Customer.php ? Tous les fichiers cœurs sont d'origine ? (Dans le doute passez un coup de Cleaner (https://shop.devcustom.net/fr/content/16-nettoyage-hack) Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now