[webapps / 0day] – PrestaShop <=1.3.6 (cms.php) Remote File Inclusion

Iniciado por OssoH, 27 Enero 2012, 13:26 PM

0 Miembros y 1 Visitante están viendo este tema.

OssoH

Hola, tengo una web hecha en prestashop en la versión 1.3.6.
He visto que hay una vulnerabilidad (remote file inclusion).
http://www.allinfosec.com/2011/04/17/webapps-0day-prestashop-1-3-6-cms-php-remote-file-inclusion-10/
Entiendo que si no corrijo el fallo alguien puede acceder a mi servidor y borrarme por ejemplo la web  ¿verdad?
No encuentro por ningún lado como solucionar este bug, he descargado versiones más recientes de prestashop y en ellas el contenido del cms.php es el mismo.
Lo unico que cambia en versiones mucho más recientes es la classes/Link.php en la función getCmsLink

Que me aconsejáis?
Actualizaría toda la versión de mi web pero tendría problemas con templates y algunos módulos que no son compatible por lo que ahora mismo me interesa solventar este problema.

Si me lo permite me gustaría "aprovecharme" de vuestros conocimientos para saber si existe algún programa que dada una web te encuentre los posibles fallos de seguridad en el código php para así poder corregirlos. Por supuesto, sería para usarlo a modo local en mis desarrollos de php.

Gracias por la ayuda.

‭lipman

Si que hay programas que te buscan vulnerabilidades dada una web, vease Shadow Security Scanner, mas conocido como SSS y el N Stealth creo que era otro.

Un saludo