Jump to content

Rolige

Global Moderators
  • Posts

    4,397
  • Joined

  • Last visited

  • Days Won

    14

Rolige last won the day on April 1 2023

Rolige had the most liked content!

About Rolige

  • Birthday 10/08/1982

Profile Information

  • Location
    Mexico
  • Interests
    Ecommerce
  • First Name
    Sergio
  • Last Name
    Quiñonez
  • Activity
    Developer

Recent Profile Visitors

51,522,783 profile views

Rolige's Achievements

  1. Se busca desarrollador de PrestaShop con amplia experiencia demostrable en Front End (3+ años). Conocimientos de JavaScript, CSS, Smarty, Bootstrap, jQuery, y opcionalmente Vue.js, con capacidad de realizar cualquier tipo de ajuste visual, instalacion y personalizacion de plantillas. Trabajo 100% remoto y en tiempo compartido. Interesados enviar mensaje privado.
  2. Visual Composer: Page Builder for Prestashop is one of the most used modules for creating dynamic content in Prestashop stores. In fact, in addition to being able to be purchased individually, it is also included in countless themes for the platform. Beyond the proven usefulness and good opinions that this module has, it is not sold directly in Prestashop Addons. Why is such a famous module not on the official module platform for Prestashop? Well, we have found an important SECURITY BUG, and perhaps elements like this could be one of the causes. First let's clarify, so that there is no confusion with its title, that it is the module whose folder is called "jscomposer". This module has its own library for managing images (uploading, renaming, deleting, creating folders, etc). This library is similar to the one used by Prestashop to perform the same function, with one fundamental difference: the jscomposer library DOES NOT HAVE ANY SECURITY VALIDATION. In other words, anyone from anywhere on the internet, without even being authenticated in the front or back office of the store, can access the content of the images and manipulate them. Still don't believe it? How can you know if this security hole is affecting your store? It is easy to check. If when entering this path of your store you can see the image manager, then your store may be in trouble: https://myshopurl.com/modules/jscomposer/views/dialog.php And worst of all, the module doesn't even have to be active in the store. The fact that the file exists is enough. Why all the fuss over a few image files? Well, beyond the fact that any hacker can delete your images uploaded to the module, there is a much worse problem. There are bots that are scanning the web for known vulnerabilities in websites. And in the case of Prestashop we have already known of cases where some “intelligent” hacker has a bot that uploads a PHP script to the store by removing the .php extension first. For the image manager this is like uploading a new folder, then rename the file and give it the .php extension correctly. And basically, if you manage to upload an external PHP file to a store you can do whatever you want with the store, from deleting all the files and BDs to hijacking them by encrypting them and then asking for a ransom to restore them. But beyond the scare ... How do I solve this big problem? You can find the answer step by step on our blog: https://www.rolige.com/en/blog/tips-prestashop/security-breach-in-visual-composer-module-solution Keep safe fellows. Regards
  3. Visual Composer: Page Builder for Prestashop es uno de los módulos más usado para la creación de contenido dinámico en tiendas Prestashop. De hecho, además de poder adquirirse individualmente, también viene incluido en incontables temas para la plataforma. Más allá de la utilidad comprobada y buenas opiniones que tiene este módulo, no se vende directamente en Prestashop Addons. ¿Por qué un módulo tan famoso no está en la plataforma oficial de módulos para Prestashop? Pues hemos encontrado un BUG DE SEGURIDAD importante, y quizás elementos como este pudiera ser una de las causas. Primeramente aclaremos, para que no haya confusión con su título, que se trata del módulo cuya carpeta se llama “jscomposer”. Este módulo tiene una librería propia para la gestión de imágenes (subida, renombrado, borrado, creación de carpetas, etc). Dicha librería es similar a la usada por Prestashop para realizar la misma función, con una diferencia fundamental: la librería del jscomposer NO TIENE NINGUNA VALIDACIÓN DE SEGURIDAD. En otras palabras, cualquiera desde cualquier parte de internet, sin estar siquiera autenticado en el front o backoffice de la tienda puede acceder al contenido de las imágenes y manipularlas. ¿Aún no lo crees? ¿Cómo puedes saber si este hueco de seguridad está afectando tu tienda? Es fácil de comprobar. Si al entrar a esta ruta de tu tienda puedes ver el gestor de imágenes, entonces tu tienda puede estar en problemas: https://urldemitienda.com/modules/jscomposer/views/dialog.php Y lo peor de todo es que el módulo ni siquiera tiene que estar activo en la tienda. Con que exista el archivo es suficiente. ¿Por qué tanto alboroto por unos cuantos archivos de imágenes? Bueno, más allá de que cualquier hacker puede eliminar tus imágenes subidas al módulo, existe un problema mucho peor. Hay bots que están escaneando en la web en búsqueda de vulnerabilidades conocidas en sitios web. Y en el caso de Prestashop ya hemos conocido de casos donde algún hacker “inteligente” tiene un bots que sube un script PHP a la tienda quitándole antes la extensión .php. Para el gestor de imágenes esto es como subir una nueva carpeta, luego renombra el archivo y le pone la extensión .php correctamente. Y básicamente, si logras subir un archivo PHP externo a una tienda puedes hacer lo que quieras con la tienda, desde borrar todos los archivos y BD hasta secuestrarlos encriptándolos y luego pedir un rescate para restaurarlos. Pero más allá del susto… ¿Cómo resuelvo este problemón? La respuesta la puedes encontrar paso a paso en nuestro blog: https://www.rolige.com/es/blog/sugerencias-prestashop/brecha-de-seguridad-en-modulo-visual-composer-solucion Manténganse protegidos. Saludos y suerte.
  4. Hello: There is no logo option in this PS version. Regards
  5. Hello: There is a popular module reCaptcha in Addons that solve this issue and allows you to set some other configuration. Take a look. Regards
  6. Hello: It seems that oragen button belongs to some banner module configuration os your theme. Regards
  7. Hola: Inspecciona la consola de tu navegador para que identifiques la ruta de la imagen y la cambies directamente, ya sea por FTP a traves del modulo correspondiente. Saludos
  8. This can probably help you: https://www.prestashop.com/forums/topic/999337-price-displayed-with-6-decimals/?tab=comments#comment-3145456
  9. Hello: You should study how other similar modules do it, for example "newproducts". You will find the query (this is what you have probably wrong on your code) at Product::getNewProducts. This is the query key: "WHERE image_shop.cover=1" because there are just 1 cover image by product. Regards
  10. Hola: Los modulos se transplantan en el backoffice en el menu Posiciones. Ahi mismo donde debiste haberlo transplantado por error puedes desengancharlo del hook o engancharlo en otro nuevo donde mismo estaba antes. Por ultimo puedes reinstalar el modulo y este se enganchara nuevamente en los hooks por defecto. Saludos
  11. Well, the error said: there is a variable "category" on the "product.tpl" file that is not defined. You should find it and probably use some condition like "{if isset($category)}" before using it. Anyway this is just a notice, you will not see it anymore after you disable debug mode.
  12. Hello: Better look for a module that do this job. It will be easier, faster and cheapier that do it by yourself. Regards
  13. Hello: Configure your module composer.json file and specify your third party library requirements. Then just run "composer install" command. It will download automatically your required libraries yo vendor folder. Anyway, you can go to github repo of this library and download it manually, but try to learn more about composer that could made your life easier. Regards
  14. Hola: Necesitas un modulo hecho a medida para esto. Hay varios modulos de transporte por cada pais que realizacion cotizacion en tiempo real. Hay otros que te permiten hacer cambio de tienda (o enviar al cliente a una URL en particular) si proviene de determinado origen. Quizas alguno de estos podrian ayudarte con lo que necesitas. Saludos
  15. Hello: Here an example from \modules\dashgoals\controllers\admin\AdminDashgoalsController.php: $this->module->display(_PS_MODULE_DIR_.$this->module->name.DIRECTORY_SEPARATOR.$this->module->name.'.php', 'config.tpl') But you can use too this smarty function: $this->context->smarty->fetch('MODULE_PATH/views/templates/admin/configure.tpl'); Regards
×
×
  • Create New...