THELIA Forum

Welcome to the THELIA support and discusssion forum

Announcement

Rejoignez la communauté sur le Discord Thelia : https://discord.gg/YgwpYEE3y3

Offline

#1 Vulnérabilité critique

(18-08-2023 08:05:00)

Hello tout le monde.

Je suis en train de développer une boutique en ligne V2 pour un client qui a déjà une V1.
J'ai donc mis en place la boutique dans un dossier et fait pointer le sous-domaine dev.domain.fr vers le dossier web de ce dossier.

Mon client vient de transmettre le mail suivant suite à un audit de sécurité :

Je souhaite t’avertir que nous avons détecté une vulnérabilité extrêmement critique qui nous a permis , entre autres :

    D’accéder aux pages d’administrations des sites (visualisation des commandes, du CA, etc..),
    De récupérer le mot de passe (hash) de tous vos utilisateurs,
    De compromettre les serveurs mails de votre entreprise,
    D’accéder au code source et aux fichiers de configuration de vos sites,
    D’accéder à l’ensemble des bases de données de vos sites.

Pour la corriger et pour éviter toute attaque dans un premier temps, je te conseille de demander à votre prestataire ayant développé le site de couper complétement l’accès à la page de l’environnement de développement, disponible au lien suivant : http://www.dev.domaine.fr.

Qu'en pensez-vous ?

Aide les autres, ils t'aideront en retour.

Offline

#2 Re: Vulnérabilité critique

(18-08-2023 09:39:18)

Ce qui serait intéressant surtout c'est de connaitre les détails de l'audit de sécurité

Offline

#3 Re: Vulnérabilité critique

(23-08-2023 18:30:58)

Bonsoir, peut-être ajouter et configurer une route avec ip d'accès pour limiter les instrusions et la visibilité à cette partie dev
Peut-être une bêtise aussi
Bonne soirée

Offline

#4 Re: Vulnérabilité critique

(24-08-2023 09:53:58)

Jusqu'à ce jour, le lab sécurité d'OS n'a pas détecté de failles dans Thelia.

Si vulnérabilité il y a, elle est certainement du côté du serveur, de l'hébergement ou des deux. Il est crucial de connaitre la nature des failles, ne serait-ce que pour s'assurer que ce fameux "audit" remonté par ton client n'est pas juste une tentative d'arnaque. A-t-il eu des preuves (screenshots, extrait des data, ...) que cette intrusion est réelle ?

OpenStudio Toulouse

Offline

#5 Re: Vulnérabilité critique

(26-08-2023 09:09:47)

Des news ?

OpenStudio Toulouse

Offline

#6 Re: Vulnérabilité critique

(27-08-2023 11:07:22)

J'attends toujours un retour de mon client à ce sujet.

La seule chose que j'avais vu de mon côté sur le FTP c'est un dossier pentest (il me semble) que je retrouve pas.

Aide les autres, ils t'aideront en retour.

Offline

#7 Re: Vulnérabilité critique

(28-08-2023 06:49:47)

A priori, l'entreprise ayant effectué l'audit serait : macyber

Dès que j'ai quoique ce soit comme informations à ce sujet je te les communique. (ici ou en privé ?)

Aide les autres, ils t'aideront en retour.

Offline

#8 Re: Vulnérabilité critique

(28-08-2023 07:51:01)

sur leur site il y a marqué Prévention->Détection->Remédiation , je connaissais pas ce dernier mots, donc il devrait dire comment y remédier ;-)

Offline

#9 Re: Vulnérabilité critique

(29-08-2023 23:05:55)

Elyos wrote:

A priori, l'entreprise ayant effectué l'audit serait : macyber

Dès que j'ai quoique ce soit comme informations à ce sujet je te les communique. (ici ou en privé ?)

Merci smile En privé, ce serait plus prudent

OpenStudio Toulouse

Offline

#10 Re: Vulnérabilité critique

(04-09-2023 14:38:47)

Des news ?

OpenStudio Toulouse

Offline

#11 Re: Vulnérabilité critique

(06-09-2023 08:05:14)

Je viens de t'envoyer un message wink

Aide les autres, ils t'aideront en retour.

Offline

#12 Re: Vulnérabilité critique

(10-09-2023 12:21:57)

Je n'ai rien reçu

OpenStudio Toulouse

Offline

#13 Re: Vulnérabilité critique

(16-09-2023 06:07:03)

Je viens de re-tester (envoi via le forum)

Aide les autres, ils t'aideront en retour.

Offline

#14 Re: Vulnérabilité critique

(16-09-2023 15:48:26)

Je ne suis pas sûr que l'envoi via le forum fonctionne

OpenStudio Toulouse

Offline

#15 Re: Vulnérabilité critique

(18-09-2023 12:48:00)

Je ne suis pas sûr que l'envoi via le forum fonctionne

En ce qui me concerne, je ne reçois jamais de mail m'informant qu'un message a été publié dans une conversation que je suis. Je dois revenir régulièrement pour voir si quelqu'un a répondu.

Offline

#16 Re: Vulnérabilité critique

(27-09-2023 07:58:39)

roadster31 wrote:

Je ne suis pas sûr que l'envoi via le forum fonctionne

Tu veux que j'envoie à quelle adresse mail du coup? ^^' (j'ai une visio vendredi avec l'auditeur)

Aide les autres, ils t'aideront en retour.

Offline

#17 Re: Vulnérabilité critique

(27-09-2023 08:38:31)

Elyos wrote:
roadster31 wrote:

Je ne suis pas sûr que l'envoi via le forum fonctionne

Tu veux que j'envoie à quelle adresse mail du coup? ^^' (j'ai une visio vendredi avec l'auditeur)

J'ai réparé l'emailing du forum, les mails devraient bien partir et arriver désormais.

OpenStudio Toulouse

Offline

#18 Re: Vulnérabilité critique

(04-10-2023 07:57:36)

Hello tout le monde!

Fausse alerte (ou presque).
Les auditeurs ont juste exploités une "faille" qui n'est possible que si thelia est en mode dev.

Donc dès lors que vous êtes en fasse de dev (en ligne), il vous faut obligatoirement mettre un .htaccess/.htpasswd pour bloquer l'accès au site.

Aide les autres, ils t'aideront en retour.

Offline

#19 Re: Vulnérabilité critique

(04-10-2023 12:38:29)

Merci de ton retour.

OpenStudio Toulouse