Faille de sécurité sur le module Business Tech Notes et Avis Clients Pro + Google Rich Snippets

[AlexandreM13]

Bonjour,
Nous avons subit une attaque sur notre prestashop et il semblerai que le module "Notes et Avis Clients Pro + Google Rich Snippets" version 3.2.7 sur un prestashop 1.5.6.2 comportent une faille de sécurité en injection SQL. 

Log des injections :
/cart?add=1&id_gift=1490&id_product=if(now()%3dsysdate()%2csleep(10)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR%22*/&token=3a8e450e91155fdfa893a614b08f432d
 

# Time: 150428 20:02:12
# User@Host: xxxxxx[xxxxx] @ localhost []
# Query_time: 15.000351 Lock_time: 0.000046 Rows_sent: 1 Rows_examined: 166
SET timestamp=1430244132;
SELECT count(*) as count FROM ps_gsr_rating WHERE RTG_SHOP_ID = 1 AND RTG_STATUS = "1" AND RTG_PROD_ID = if(now()=sysdate(),sleep(15),0)/*'XOR(if(now()=sysdate(),sleep(15),0))OR'"XOR(if(now()=sysdate(),sleep(15),0))OR"*/ AND RTG_LANG_ID = 2;

 

Donc attention à tous ceux qui ont ce module de le désactiver au plus vite.

Cordialement

[David Niry]

Bonjour,

 

La requête avait été sécurisée avec la fonction native pSQL() de PrestaShop. Donc, au final, dans mySQL, cela aurait été escapé avec un backslash (\) de toute façon, reandant la requête inopérante. Mais bon, étant donné que c'est un entier qui est attendu, cela a été corrigé et on a mis un cast en (int) comme cela aurait dû être dès le départ.

 

Le problème est donc corrigé dans les versions 3.2.9 (branche pour PrestaShop 1.4 / 1.5) et 4.0.6 (branche pour PrestaShop 1.6). Il suffit donc de télécharger la version à jour.