Plainte contre exploitation faille PS

[goutbouyo]

Bonjour,

 

Un client a exploité une faille de Prestashop (1.4.7.3) pour se faire un panier avec des produits à 10% de leur valeur...

 

J'ai remonté le bug ici: http://forge.prestashop.com/browse/PSCFI-6932?page=com.atlassian.jira.plugin.system.issuetabpanels%3Achangehistory-tabpanel#issue-tabs

 

Comment dois-je procéder vis-à-vis de ce client ?

Porter plainte ?

Auprès de quel organisme ?

Rembourser les fonds immédiatement ou attendre ?

 

Merci d'avance pour votre aide

[jeckyl]

Bonjour,

 

personnellement je 'annule la commande et je rembourse ce qui a été payé.

 

et si la personne se plains on discute avec elle.

[goutbouyo]

Bonjour,

 

Merci pour votre aide Jeckyl.

Cette personne serait quand même gonflée de se plaindre alors qu'elle a utiliser une faille pour passer 5 commandes le même jour, le tout pour une valeur de 1000€.

Par ailleurs, elle avait déjà profiter de ce bug pour avoir 1 produit à 10% de sa valeur dans une commande précédente (déjà expédiée...).

 

Cette faille nécessite tout de même certaines connaissances en programmation web. Cette personnes n'est pas tombée dessus "par hasard"...

 

Ce qui me gêne dans le remboursement sans plainte c'est que les frais bancaires sont à ma charge et que cette personne restera impunie.

 

Ais-je une chance d'avoir gain de cause en portant plainte ?

[jeckyl]

Bonjour,

 

Merci pour votre aide Jeckyl.

Cette personne serait quand même gonflée de se plaindre alors qu'elle a utiliser une faille pour passer 5 commandes le même jour, le tout pour une valeur de 1000€.

Par ailleurs, elle avait déjà profiter de ce bug pour avoir 1 produit à 10% de sa valeur dans une commande précédente (déjà expédiée...).

 

Cette faille nécessite tout de même certaines connaissances en programmation web. Cette personnes n'est pas tombée dessus "par hasard"...

 

Ce qui me gêne dans le remboursement sans plainte c'est que les frais bancaires sont à ma charge et que cette personne restera impunie.

 

Ais-je une chance d'avoir gain de cause en portant plainte ?

 

si la personnes tes en France peut être.

[coeos.pro]

1-on peut avoir l'url du produit qui a été ajouté à 10% de sa valeur ?

2- suite à la première commande vous avez essayé de rectifier le bug ? vous avez contacté le client pour lui dire qu'il y avait un problème ?

[passicool]

Bonjour,

 

Pour ma part je pense qu'il vaut mieux annuler les commandes en cours, rembourser et prévenir la personne qu'elle est grillé. Si récidive alors je porterais plainte.

Si vraiment les coûts de procédure ne te freine pas alors porte plainte dès à présent mais pas dit que la justice se bouge beaucoup.

[goutbouyo]

Bonjour,

J ai finalement signalé la fraude à la gendarmerie sans porter plainte.

Je vais annuler les commandes et rembourser le client.

 

Je n'ai pas encore corrigé le bug donc je préfère ne pas donner d URL.

Ce bug est réalisable en appelant le fichier Cart.Php

[Patric]

Bonjour à tous,

 

Merci beaucoup à goutbouyo pour ce retour.

Nous nous penchons bien entendu au plus vite sur ce problème.

Néanmoins, dans un souci de sécurité, je me suis permis de masquer les posts dévoilant la faille en question.

Merci de votre compréhension. Et merci aussi pour votre participation à tous (surtout Broceliande).

[Guest Kaylabs]

Toc Toc, qu'en est il de cette faille ?

 

Est il envisagé de donner un correctif pour les versions 1.4.x ?

[Yoya]

Kaylabs, vois avec Broceliande, il a fait un patch

[Atch]

la 1.4 est elle toujours maintenue ?

 

A une époque, il était question que oui, mais c'était à l'époque C. Cremer ? ce serait bien d'avoir un peu plus d'info à ce sujet...

 

V++

 

Atch

[domi77185]

Toc Toc, qu'en est il de cette faille ?

 

Est il envisagé de donner un correctif pour les versions 1.4.x ?

 

Bonjour,

 

Si tu as suivi le fil tu as du noter la modif à apporter, sinon j'ai fait un override sur une 1.4.7, mais je ne sais pas si je peux mettre sur ce topic car cela risquerait de peut-être dévoiler la faille !!!

[Guest Kaylabs]

C'est bien le probleme domi/yoya.

Ceux qui ont suivi le fil avant l'edition auront pu noter la modif a faire. Quid des autres ? ils vivent avec ? N'est il pas mieux de devoiler une faille en mettant a dispo le correctif ?

 

Serait ce possible d'avoir les fichiers modifiés pour les versions 1.4.x ? (ou la branche 1.4 est abandonnée)

 

Cette faille a t elle été corrigée dans la 1.5 récente ?

Edited January 3, 2013 by Kaylabs (see edit history)

[Picoteur@LSK]

Bonjour et bonne année à tous

De nombreuses boutiques tournent encore, et à priori pour un moment, en 1.4.x...

Donner l'accès à un patch me semble la moindre des choses, non ?

Pas eu le loisir de noter la modif à faire, j'ai donc la faille sur toutes mes boutiques ?

Allez, quoi, ce n'est pas un secret d'état non plus, hein... et si ça se trouve, la faille est plus facile à trouver dans les profondeurs obscures du net que le patch pour s'en protéger.

Qui se dévoue et sauve la mise à plein d'honnètes webmasters ou développeurs qui s'en tamponnent de la faille si ce n'est pour s'en protéger ?

[domi77185]

@Kaylabs, je me suis permis de regarder sur ton site, et étant donné que tu gères les stocks, ton site n'accepte pas la faille décrite ici.

 

Sachant qu'il n'y aura plus je pense de mise à jour pour les versions 1.4, je peux vous donner via MP la correction à effectuer dans le core de votre PS, ou l'override que j'ai créé, mais il vous faudra le tester si vous n'êtes pas en 1.4.7.

 

L'override est un fichier à ajouter sur votre site dans le dossier "/override/classes/"

Pour tester il suffit de vérifier que le bouton "ajouter au panier" est toujours fonctionnel sur les produits avec et sans déclaisons.

[Picoteur@LSK]

Sachant qu'il n'y aura plus je pense de mise à jour pour les versions 1.4, je peux vous donner via MP la correction à effectuer dans le core de votre PS, ou l'override que j'ai créé, mais il vous faudra le tester si vous n'êtes pas en 1.4.7.

 

Avec grand plaisir, Domi... Merci à toi.

Amicalement,

P.

[Broceliande]

Bon je vais pas pouvoir écraser plus longtemps non plus.

A peine cette faille révélée , je prends la peine de publier un patch dans le topic même ou ce bug est annoncé.

Je suis censuré sous motif qu'il n'est pas prudent de dévoiler une faille , ce que je conçois.

 

Pourtant je n'ai pas dévoilé cette faille , j'ai ouvert mon bec uniquement pour y apporter une solution.

Solution qui ne doit pas être si mauvaise puisqu'elle se trouve dans la 1.5.3.1 ... (oui elle existe même si elle n'a pas eu d'effet d'annonce, redownloadez simplement la 1.5.3 ...)

 

Pourtant à ce jour, concernant la 1.4 , rien , nada.

Or si la team avait fait des tests, il apparait clairement que c'est surtout la 1.4 qui reste exposée.

 

On pourrait penser que la 1.4 n'est plus maintenue mais si on jette un oeil à github on voit un commit global d'il y a une poignée d'heures intitulé :

// Welcome 2013

 

Putain mais quelle ironie tout de même hein !

 

14 hours ago // Welcome 2013 [gaillafr]

 

Alors merde on peut commit un truc de masse pour changer la licence, mais un commit de 5 lignes pour combler une vraie faille, non ?

 

5 lignes toutes con que vous avez bien su ajouter à la 1.5 :

 if (!empty($id_product_attribute))
 {
  $comb = new Combination($id_product_attribute);
  if($comb->id_product != $id_product)
   return false;
 }

 

Alors franchement , domi77185 , tu as du mérite de vouloir encore diffuser ça et je t'en remercie. Moi j'ai plus le goût mais alors vraiment plus !

 

Je comprends plus du tout la logique de prestashop.

[Atch]

Atch, sort de ce corps !!! Revient à la maison...

 

Puré ils ont réussi à chauffer Bro et ça c est une prouesse.

 

V++

 

Atch

[domi77185]

Puré ils ont réussi à chauffer Bro et ça c est une prouesse.

Moi j'ai rien fait !!!!

[Raphaël Malié]

Ah PrestaShop et sa politique de sécurité basée sur les casts

 

Prompt à pointer du doigt les bugs des voisins mais aussi à dissimuler les siens

http://www.prestasho...post__p__845506

Edited January 5, 2013 by Raphaël Malié (see edit history)

[Broceliande]

Ah PrestaShop et sa politique de sécurité basée sur les casts

 

Prompt à pointer du doigt les bugs des voisins mais aussi à dissimuler les siens

http://www.prestasho...post__p__845506

 

Ton intervention et ton soutien me flattent