Brecha de seguridad en módulo Visual Composer + SOLUCIÓN

[Rolige]

Visual Composer: Page Builder for Prestashop es uno de los módulos más usado para la creación de contenido dinámico en tiendas Prestashop. De hecho, además de poder adquirirse individualmente, también viene incluido en incontables temas para la plataforma. Más allá de la utilidad comprobada y buenas opiniones que tiene este módulo, no se vende directamente en Prestashop Addons. ¿Por qué un módulo tan famoso no está en la plataforma oficial de módulos para Prestashop? Pues hemos encontrado un BUG DE SEGURIDAD importante, y quizás elementos como este pudiera ser una de las causas.

Primeramente aclaremos, para que no haya confusión con su título, que se trata del módulo cuya carpeta se llama “jscomposer”. Este módulo tiene una librería propia para la gestión de imágenes (subida, renombrado, borrado, creación de carpetas, etc). Dicha librería es similar a la usada por Prestashop para realizar la misma función, con una diferencia fundamental: la librería del jscomposer NO TIENE NINGUNA VALIDACIÓN DE SEGURIDAD. En otras palabras, cualquiera desde cualquier parte de internet, sin estar siquiera autenticado en el front o backoffice de la tienda puede acceder al contenido de las imágenes y manipularlas.

¿Aún no lo crees? ¿Cómo puedes saber si este hueco de seguridad está afectando tu tienda? Es fácil de comprobar. Si al entrar a esta ruta de tu tienda puedes ver el gestor de imágenes, entonces tu tienda puede estar en problemas:

https://urldemitienda.com/modules/jscomposer/views/dialog.php

Y lo peor de todo es que el módulo ni siquiera tiene que estar activo en la tienda. Con que exista el archivo es suficiente.

¿Por qué tanto alboroto por unos cuantos archivos de imágenes? Bueno, más allá de que cualquier hacker puede eliminar tus imágenes subidas al módulo, existe un problema mucho peor. Hay bots que están escaneando en la web en búsqueda de vulnerabilidades conocidas en sitios web. Y en el caso de Prestashop ya hemos conocido de casos donde algún hacker “inteligente” tiene un bots que sube un script PHP a la tienda quitándole antes la extensión .php. Para el gestor de imágenes esto es como subir una nueva carpeta, luego renombra el archivo y le pone la extensión .php correctamente. Y básicamente, si logras subir un archivo PHP externo a una tienda puedes hacer lo que quieras con la tienda, desde borrar todos los archivos y BD hasta secuestrarlos encriptándolos y luego pedir un rescate para restaurarlos.

Pero más allá del susto… ¿Cómo resuelvo este problemón? La respuesta la puedes encontrar paso a paso en nuestro blog: https://www.rolige.com/es/blog/sugerencias-prestashop/brecha-de-seguridad-en-modulo-visual-composer-solucion

Manténganse protegidos.

Saludos y suerte.