Jump to content

Rolige

Global Moderators
  • Posts

    4,396
  • Joined

  • Last visited

  • Days Won

    13

Everything posted by Rolige

  1. Visual Composer: Page Builder for Prestashop is one of the most used modules for creating dynamic content in Prestashop stores. In fact, in addition to being able to be purchased individually, it is also included in countless themes for the platform. Beyond the proven usefulness and good opinions that this module has, it is not sold directly in Prestashop Addons. Why is such a famous module not on the official module platform for Prestashop? Well, we have found an important SECURITY BUG, and perhaps elements like this could be one of the causes. First let's clarify, so that there is no confusion with its title, that it is the module whose folder is called "jscomposer". This module has its own library for managing images (uploading, renaming, deleting, creating folders, etc). This library is similar to the one used by Prestashop to perform the same function, with one fundamental difference: the jscomposer library DOES NOT HAVE ANY SECURITY VALIDATION. In other words, anyone from anywhere on the internet, without even being authenticated in the front or back office of the store, can access the content of the images and manipulate them. Still don't believe it? How can you know if this security hole is affecting your store? It is easy to check. If when entering this path of your store you can see the image manager, then your store may be in trouble: https://myshopurl.com/modules/jscomposer/views/dialog.php And worst of all, the module doesn't even have to be active in the store. The fact that the file exists is enough. Why all the fuss over a few image files? Well, beyond the fact that any hacker can delete your images uploaded to the module, there is a much worse problem. There are bots that are scanning the web for known vulnerabilities in websites. And in the case of Prestashop we have already known of cases where some “intelligent” hacker has a bot that uploads a PHP script to the store by removing the .php extension first. For the image manager this is like uploading a new folder, then rename the file and give it the .php extension correctly. And basically, if you manage to upload an external PHP file to a store you can do whatever you want with the store, from deleting all the files and BDs to hijacking them by encrypting them and then asking for a ransom to restore them. But beyond the scare ... How do I solve this big problem? You can find the answer step by step on our blog: https://www.rolige.com/en/blog/tips-prestashop/security-breach-in-visual-composer-module-solution Keep safe fellows. Regards
  2. Visual Composer: Page Builder for Prestashop es uno de los módulos más usado para la creación de contenido dinámico en tiendas Prestashop. De hecho, además de poder adquirirse individualmente, también viene incluido en incontables temas para la plataforma. Más allá de la utilidad comprobada y buenas opiniones que tiene este módulo, no se vende directamente en Prestashop Addons. ¿Por qué un módulo tan famoso no está en la plataforma oficial de módulos para Prestashop? Pues hemos encontrado un BUG DE SEGURIDAD importante, y quizás elementos como este pudiera ser una de las causas. Primeramente aclaremos, para que no haya confusión con su título, que se trata del módulo cuya carpeta se llama “jscomposer”. Este módulo tiene una librería propia para la gestión de imágenes (subida, renombrado, borrado, creación de carpetas, etc). Dicha librería es similar a la usada por Prestashop para realizar la misma función, con una diferencia fundamental: la librería del jscomposer NO TIENE NINGUNA VALIDACIÓN DE SEGURIDAD. En otras palabras, cualquiera desde cualquier parte de internet, sin estar siquiera autenticado en el front o backoffice de la tienda puede acceder al contenido de las imágenes y manipularlas. ¿Aún no lo crees? ¿Cómo puedes saber si este hueco de seguridad está afectando tu tienda? Es fácil de comprobar. Si al entrar a esta ruta de tu tienda puedes ver el gestor de imágenes, entonces tu tienda puede estar en problemas: https://urldemitienda.com/modules/jscomposer/views/dialog.php Y lo peor de todo es que el módulo ni siquiera tiene que estar activo en la tienda. Con que exista el archivo es suficiente. ¿Por qué tanto alboroto por unos cuantos archivos de imágenes? Bueno, más allá de que cualquier hacker puede eliminar tus imágenes subidas al módulo, existe un problema mucho peor. Hay bots que están escaneando en la web en búsqueda de vulnerabilidades conocidas en sitios web. Y en el caso de Prestashop ya hemos conocido de casos donde algún hacker “inteligente” tiene un bots que sube un script PHP a la tienda quitándole antes la extensión .php. Para el gestor de imágenes esto es como subir una nueva carpeta, luego renombra el archivo y le pone la extensión .php correctamente. Y básicamente, si logras subir un archivo PHP externo a una tienda puedes hacer lo que quieras con la tienda, desde borrar todos los archivos y BD hasta secuestrarlos encriptándolos y luego pedir un rescate para restaurarlos. Pero más allá del susto… ¿Cómo resuelvo este problemón? La respuesta la puedes encontrar paso a paso en nuestro blog: https://www.rolige.com/es/blog/sugerencias-prestashop/brecha-de-seguridad-en-modulo-visual-composer-solucion Manténganse protegidos. Saludos y suerte.
  3. Hello: There is no logo option in this PS version. Regards
  4. Hello: There is a popular module reCaptcha in Addons that solve this issue and allows you to set some other configuration. Take a look. Regards
  5. Hello: It seems that oragen button belongs to some banner module configuration os your theme. Regards
  6. Hola: Inspecciona la consola de tu navegador para que identifiques la ruta de la imagen y la cambies directamente, ya sea por FTP a traves del modulo correspondiente. Saludos
  7. This can probably help you: https://www.prestashop.com/forums/topic/999337-price-displayed-with-6-decimals/?tab=comments#comment-3145456
  8. Hello: You should study how other similar modules do it, for example "newproducts". You will find the query (this is what you have probably wrong on your code) at Product::getNewProducts. This is the query key: "WHERE image_shop.cover=1" because there are just 1 cover image by product. Regards
  9. Hola: Los modulos se transplantan en el backoffice en el menu Posiciones. Ahi mismo donde debiste haberlo transplantado por error puedes desengancharlo del hook o engancharlo en otro nuevo donde mismo estaba antes. Por ultimo puedes reinstalar el modulo y este se enganchara nuevamente en los hooks por defecto. Saludos
  10. Well, the error said: there is a variable "category" on the "product.tpl" file that is not defined. You should find it and probably use some condition like "{if isset($category)}" before using it. Anyway this is just a notice, you will not see it anymore after you disable debug mode.
  11. Hello: Better look for a module that do this job. It will be easier, faster and cheapier that do it by yourself. Regards
  12. Hello: Configure your module composer.json file and specify your third party library requirements. Then just run "composer install" command. It will download automatically your required libraries yo vendor folder. Anyway, you can go to github repo of this library and download it manually, but try to learn more about composer that could made your life easier. Regards
  13. Hola: Necesitas un modulo hecho a medida para esto. Hay varios modulos de transporte por cada pais que realizacion cotizacion en tiempo real. Hay otros que te permiten hacer cambio de tienda (o enviar al cliente a una URL en particular) si proviene de determinado origen. Quizas alguno de estos podrian ayudarte con lo que necesitas. Saludos
  14. Hello: Here an example from \modules\dashgoals\controllers\admin\AdminDashgoalsController.php: $this->module->display(_PS_MODULE_DIR_.$this->module->name.DIRECTORY_SEPARATOR.$this->module->name.'.php', 'config.tpl') But you can use too this smarty function: $this->context->smarty->fetch('MODULE_PATH/views/templates/admin/configure.tpl'); Regards
  15. Hello: This is a module controller. Module controller belongs to a module, a need it to work. If you want to instance a module controller class from a cron job file your need to include at least the main module file (where the module controller class belongs) in order that Prestashop can find the related module class. Regards
  16. Hola: El error indica claramente que no existe la tabla 'guest' no existe. Revisalo en tu BD y si es asi intenta crearla manualmente. Saludos
  17. Hola: Lo proveedores tienen una direccion asociada. Y al parecer tus direcciones tienen como obligatorio el campo DNI. Solo quita este campo como obligatorio y deberia permitirte continuar. Saludos
  18. Hello: For files/folder permission this guide can help you: https://www.rolige.com/en/blog/how-to-assign-the-correct-permissions-to-my-prestashop-files-and-folders-n7 Anyway, you can upload manually your logo by FTP replacing the current logo file. Regards
  19. Hola: En la pestaña de Transporte de la página de edición de productos del Backoffice (si no es un modulo de terceros el que pone esta informacion ahi en el caso de tu tienda). Saludos
  20. NEW UPDATE TO v1.6.0 [+] New design in the module configurator [+] New option in the Cart Reminder to set a maximum amount required [+] New option in the Cart Reminder to set a minimum and/or maximum products quantity required [*] The "Reminder time of the previous cart" option can now be set in hours instead of days [*] The subscribers update is now via Ajax to support a high volume of data [*] Minor performance improvements [*] PrestaShop 1.5 compatibility has been removed [-] Minor fix in the campaign manager for PS 1.7.5+ More info about the module Web Browser Push Notifications using OneSignal for PrestaShop
  21. NEW UPDATE TO v1.0.10 [+] New design in the module configurator More info about the Ultra Fast Email Sender Optimizer Module for PrestaShop
  22. Pues si estas editando un TPL del modulo ps_mainmenu entonces deberia estar en el fichero PHP principal de dicho modulo \modules\ps_mainmenu\ps_mainmenu.php
  23. Hello: This is probably related with the fact that the las module version uses a version of PHP that you do not have configured on your hosting. You can continue using the older module version or contact developer to fix this issue (that is not so hard to solve it). Regards
  24. Hello: No it won´t. Anyway you can just disable products on the second shop. Regards
×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More