Ir para conteúdo
View in the app

A better way to browse. Learn more.
Portal do Host

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

ATENÇÃO: Correção de vulnerabilidade no arquivo admin/file_manager.php [osCommerce]

Por Patty
em Design, Desenvolvimento & E-commerce

Featured Replies

Postado

Diversas lojas osCommerce estão sendo invadidas ultimamente devido a uma vulnerabilidade no arquivo admin/file_manager.php recentemente descoberta.

É importantíssimo que os administradores de lojas tomem as devidas precauções para evitar a invasão e comprometimento de suas lojas seguindo um dos passos abaixo:

1- Se vc não usa o Gerenciador de Arquivos nas Ferramentas em sua loja, recurso que permite editar diretamente os arquivos PHP em sua loja, mas que notadamente possui bugs e esta vulnerabilidade recentemente descoberta, o ideal é completamente deletar este arquivo do servidor. Se preferir fazer isso, faça tb a seguinte correção no arquivo admin/includes/boxes/tools.php: abra o arquivo e remova ou comente (colocando // na frente) a linha


[FONT=monospace][COLOR=#c00][FONT=monospace][COLOR=#c00]'<a href="'[/COLOR] [COLOR=#00f].[/COLOR] tep_href_link[COLOR=#009]([/COLOR]FILENAME_NEWSLETTERS[COLOR=#009])[/COLOR] [COLOR=#00f].[/COLOR] [COLOR=#c00]'" class="menuBoxContentLink">'[/COLOR] [COLOR=#00f].[/COLOR] BOX_TOOLS_NEWSLETTER_MANAGER [COLOR=#00f].[/COLOR] [COLOR=#c00]'</a><br>'[/COLOR] [COLOR=#00f].[/COLOR][/FONT]

[/COLOR][/FONT]
Isso irá remover o link do Gerenciador de Arquivos do menu Ferramentas na admin da loja. 2- Para garantir mais segurança em sua loja e evitar outros problemas, tb é recomendado remover a ferramenta para editar os arquivos de linguagem, deletando o arquivo admin/define_language.php e e removendo ou comentando (colocando // na frente) a linha abaixo do arquivo admin/includes/boxes/tools.php: 

[FONT=monospace][COLOR=#c00][FONT=monospace][COLOR=#c00]'<a href="'[/COLOR] [COLOR=#00f].[/COLOR] tep_href_link[COLOR=#009]([/COLOR]FILENAME_DEFINE_LANGUAGE[COLOR=#009])[/COLOR] [COLOR=#00f].[/COLOR] [COLOR=#c00]'" class="menuBoxContentLink">'[/COLOR] [COLOR=#00f].[/COLOR] BOX_TOOLS_DEFINE_LANGUAGE [COLOR=#00f].[/COLOR] [COLOR=#c00]'</a><br>'[/COLOR] [COLOR=#00f].[/COLOR][/FONT]

[/COLOR][/FONT]
3- Se preferir manter o file_manager.php em sua loja, faça as seguintes alterações para prevenir que os "hackers" de plantão tirem proveito da vulnerabilidade: a) Abra o arquivo loja/admin/login.php e procure por 

[FONT=monospace][FONT=monospace]tep_session_register[COLOR=#009]([/COLOR][COLOR=#c00]'admin'[/COLOR][COLOR=#009])[/COLOR];[/FONT]

[/FONT]
Logo abaixo adicione 

[FONT=monospace][COLOR=#ff9900][FONT=monospace][COLOR=#ff9900]/** eMark Upload Exploit Fix **/[/COLOR][/FONT]

[FONT=monospace]tep_session_register[COLOR=#009]([/COLOR][COLOR=#c00]'AllowUpload'[/COLOR][COLOR=#009])[/COLOR];[/FONT]

[/COLOR][/FONT]
Salve o arquivo. b) Abra o arquivo loja/admin/file_manager.php e procure por 

[FONT=monospace][COLOR=#060][FONT=monospace][COLOR=#060]if[/COLOR] [COLOR=#009]([/COLOR]tep_not_null[COLOR=#009]([/COLOR][COLOR=#000]$action[/COLOR][COLOR=#009])[/COLOR][COLOR=#009])[/COLOR] [COLOR=#009]{[/COLOR][/FONT]

[FONT=monospace][COLOR=#060]switch[/COLOR] [COLOR=#009]([/COLOR][COLOR=#000]$action[/COLOR][COLOR=#009])[/COLOR] [COLOR=#009]{[/COLOR][/FONT]

[FONT=monospace][COLOR=#060]case[/COLOR] [COLOR=#c00]'reset'[/COLOR][COLOR=#00f]:[/COLOR][/FONT]

[/COLOR][/FONT]
Logo acima adicione 

[FONT=monospace][COLOR=#ff9900][FONT=monospace][COLOR=#ff9900]/** eMark Upload Exploit Fix Start **/[/COLOR][/FONT]

[FONT=monospace][COLOR=#060]if[/COLOR][COLOR=#009]([/COLOR]tep_session_is_registered[COLOR=#009]([/COLOR][COLOR=#c00]'AllowUpload'[/COLOR][COLOR=#009])[/COLOR][COLOR=#009])[/COLOR][COLOR=#009]{[/COLOR] [/FONT]

[/COLOR][/FONT]
Procure por 

[FONT=monospace][COLOR=#060][FONT=monospace][COLOR=#060]case[/COLOR] [COLOR=#c00]'delete'[/COLOR][COLOR=#00f]:[/COLOR][/FONT]

[FONT=monospace][COLOR=#060]if[/COLOR] [COLOR=#009]([/COLOR][COLOR=#00f]strstr[/COLOR][COLOR=#009]([/COLOR][COLOR=#000]$HTTP_GET_VARS[/COLOR][COLOR=#009][[/COLOR][COLOR=#c00]'info'[/COLOR][COLOR=#009]][/COLOR][COLOR=#00f],[/COLOR] [COLOR=#c00]'..'[/COLOR][COLOR=#009])[/COLOR][COLOR=#009])[/COLOR] tep_redirect[COLOR=#009]([/COLOR]tep_href_link[COLOR=#009]([/COLOR]FILENAME_FILE_MANAGER[COLOR=#009])[/COLOR][COLOR=#009])[/COLOR];[/FONT]

[FONT=monospace][COLOR=#060]break[/COLOR];[/FONT]

[FONT=monospace][COLOR=#009]}[/COLOR][/FONT]

[FONT=monospace][COLOR=#009]}[/COLOR] [/FONT]

[/COLOR][/FONT]
Logo abaixo adicione 

[FONT=monospace][COLOR=#009][FONT=monospace][COLOR=#009]}[/COLOR][COLOR=#060]else[/COLOR][COLOR=#009]{[/COLOR][/FONT]

[FONT=monospace][COLOR=#00f]die[/COLOR][COLOR=#009]([/COLOR][COLOR=#c00]'You dont have permissions to upload/edit files on this server'[/COLOR][COLOR=#009])[/COLOR];[/FONT]

[FONT=monospace][COLOR=#009]}[/COLOR] [/FONT]

[FONT=monospace][COLOR=#ff9900]/** eMark Upload Exploit Fix END **/[/COLOR][/FONT]

[/COLOR][/FONT]

Salve os arquivos e envie para o servidor.

Crédito ao WhaCo por postar esta correção (http://addons.oscommerce.com/info/7631)

Tb postado aqui: http://www.forumdowebmaster.com.br/forum/viewtopic.php?f=15&p=538#p538

Editado por Patty
Correção de código


Postado

Sempre disse para excluirem esse arquivo. Nenhuma aplicação web deve prover acesso direto aos fontes sem ser via FTP...

Abraços


Postado

Instalei essa contribuição http://addons.oscommerce.com/info/7211

Ela verifica vulnerabilidades e infecções na loja, foi com ela que encontrei a vulnerabilidade desse arquivo.

Valeu Patty!



Postado
  • Autor

Eu uso essa + essa aqui: http://addons.oscommerce.com/info/4441

Com elas eu tenho limpado loja de muito cliente que ainda usa versão antiga desatualizada e cheia de furos. ;)

A vulnerabilidade da admin tem que ser corrigida tb, é só configurar o login por htaccess (via cPanel é bem simples).


Postado

Patty, você recomenda outro sistema de loja virtual sem ser o osCommerce?



Postado
  • Autor

@PedroFelipe:

Eu uso o osCommerce há anos e não pretendo mudar por enquanto. Apesar de algumas desvantagens, como o desenvolvimento estar parado, por exemplo, ainda acho que é o que oferece mais vantagens, que nos dá mais flexibilidade para mexer e botar do jeito que a gente quiser, e o que tem a maior comunidade com contribuições e melhorias gratuitas. Então, se eu uso, é pq é o que eu mais gosto. ;)

Mas tb é questão de gosto pessoal. Só mesmo testando os outros e comparando entre si para vc decidir qual vc prefere usar.


Visitante
Este tópico está impedido de receber novos posts.
https://portaldohost.com.br/topic/1122-aten%C3%A7%C3%A3o-corre%C3%A7%C3%A3o-de-vulnerabilidade-no-arquivo-adminfile_managerphp-oscommerce/
Ir para a lista de tópicos

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?

I accept

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.