Vulnérabilité injection SQL

5 messages dans ce sujet

Posté(e) · Signaler ce message

Salut,

j'ai vu par hasard sur le web que des vulnérabilités d'injection SQL existent sur peel 5.71 [EN COURS D'INVESTIGATION]

Voilà, juste pour info.

Par ailleurs, j'ai peel premium 5.41, est ce que des mises à jour de sécurité existent ?

Cordialement,

Shogun.

Partager ce message


Lien à poster
Partager sur d’autres sites

Posté(e) · Signaler ce message

Bonjour Shogun,

Nous vous remercions pour cette information, nous la traitons actuellement.

Cordialement,

Partager ce message


Lien à poster
Partager sur d’autres sites

Posté(e) · Signaler ce message

Suite à votre message que vous nous avez transmis, voici le correctif à appliquer, aussi bien pour les versions SHOPPING que PREMIUM.

Dans les fichiers :

/modeles/sandard/template.php

/modeles/blog/template.php

Ainsi que dans tout les fichiers template.php susceptibles d'avoir été crées : /modeles/nomdevotremodele/template.php

Pour les deux fonctions affiche_produit_en_colonne et affiche_produit_en_ligne

Remplacez la ligne :

$tri = 'ORDER BY p.' . $tri . ', p.id DESC';

Par

$tri = 'ORDER BY p.`'.mysql_real_escape_string(substr($tri, 0, min(strpos(str_replace(array('+', ',', ';', '(', ')', '!', '=', '`', '|', '&'), ' ', $tri).' ', ' '), 30))) . '`, p.id DESC';

Partager ce message


Lien à poster
Partager sur d’autres sites

Posté(e) · Signaler ce message

Suite à votre message que vous nous avez transmis, voici le correctif à appliquer, aussi bien pour les versions SHOPPING que PREMIUM.

Dans les fichiers :

/modeles/sandard/template.php

/modeles/blog/template.php

Ainsi que dans tout les fichiers template.php susceptibles d'avoir été crées : /modeles/nomdevotremodele/template.php

Pour les deux fonctions affiche_produit_en_colonne et affiche_produit_en_ligne

Remplacez la ligne :

$tri = 'ORDER BY p.' . $tri . ', p.id DESC';

Par

$tri = 'ORDER BY p.`'.mysql_real_escape_string(substr($tri, 0, min(strpos(str_replace(array('+', ',', ';', '(', ')', '!', '=', '`', '|', '&'), ' ', $tri).' ', ' '), 30))) . '`, p.id DESC';

Salutation !

J'ai testé pour voir, tout fonctionne sauf en page d'accueil au niveau de l'affichage de la sélection. J'obtiens ce message d'erreur :

Notice: Undefined variable: tri in /public_html/hydroboutique/modeles/custom/template.php on line 41

Notice: Undefined variable: tri in /public_html/hydroboutique/modeles/custom/template.php on line 41

Une erreur de connexion à la base s'est produite SELECT p.id, p.nom_fr as nom, p.promotion, p.descriptif_fr as descriptif, p.id_marque, p.image1, p.image2, p.prix, p.prix_revendeur, p.prix_flash, p.points, p.on_check, p.on_flash, p.flash_start, p.flash_end, p.default_color_id FROM peel_produits p WHERE p.etat = "1" AND 1 AND p.nom_fr != "" AND p.on_special='1' ORDER BY p.``, p.id DESC.

Unknown column 'p.' in 'order clause'

Partager ce message


Lien à poster
Partager sur d’autres sites

Posté(e) · Signaler ce message

Bonjour BIGYOM,

A priori, cette erreur semble indépendante du correctif ($tri non défini).

L'erreur vient bien d'une des fonctions affiche_produit_en_colonne ou affiche_produit_en_ligne ?

$tri devrait être défini plus haut dans cette fonction comme

$tri = (isset($_GET['tri']) ? $_GET['tri'] : 'position');

Est-ce bien le cas?

Cordialement,

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant

Twitter Advisto ecommerce

Facebook PEEL Shopping