Webforms Pro 2 lek oplossen

In juli 2016 is bekend geworden dat alle versies van Webforms Pro 2 t/m versie 2.7.6 onveilig zijn. Er is een lek geconstateerd waarbij hackers malafide code kunnen uploaden en hiermee je shop kunnen overnemen. Aangezien hackers op de hoogte zijn van dit lek, zien we bij Byte deze hack in de praktijk ook veel verschijnen. In dit artikel leggen we uit hoe je dit lek kunt oplossen.

Hoe op te lossen?

We raden klanten aan om z.s.m. de module te updaten naar versie 2.7.7 . In deze versie is het lek gedicht. Mocht je niet kunnen updaten dan raden we aan om de upload map van de module te verwijderen, zodat hackers je shop niet over kunnen nemen.

Op het Hypernode platform

Op het Hypernode platform hebben we een emergency fix uitgerold op 29 juli waarmee PHP code niet uitgevoerd kan worden  in de upload map van de WebForms Pro 2 module. Concreet houdt dit in dat alle verzoeken naar /js/webforms/upload/files/*.php geweigerd zullen worden. Desondanks raden we je toch aan om alsnog te updaten naar de nieuwste versie van de module en houd verdacht gedrag in je bestanden/admin goed in de gaten.

Namens de maker van de module

WebForms Pro Security Update
If you have WebForms version installed older than 2.7.6 please take action!
It has been recently discovered that WebForms extension can cause vulnerability on certain system configurations with Magento 1 platform installed.
If your server is running Apache 2.4, Nginx or PHP 7 you are strongly advised to download WebForms 2.7.7 update from your account area My Downloadable Products section.
The update contains new file upload scan to block possible script files from being uploaded to the server.
If you have a customized version of WebForms or performing the update is problematic, please remove the following directory:
/js/webforms/upload
It is a safe operation as it doesn’t affect any major functionality. This folder is present in current version of WebForms but will be removed in future updates.
If you have forms with file upload fields please limit allowed file extensions.

0