Un amico voleva mettere su un negozio online, cosi' armato di ansible gli ho preparato velocemente un vps con l'occorrente. Il software che ha scelto e' Prestashop perche' ha potuto acquistare un modulo/importer da un suo fornitore che automaticamente importa 8000+ prodotti dal loro catalogo a quello del mio amico, e sempre automaticamente aggiunge il ricarico desiderato a seconda della fascia di prezzo. In piu', 'sti tizi fanno drop shipping - cosi' il mio amico deve giusto mettere il sito online e praticamente non fa una mazza (a parte la gestione del server che gli faccio io, giusto manutenzione ordinaria)
Tutto bello no? Purtroppo mentre investigavo la lentezza nella "pulizia" del catalogo, ho scoperto che lo script che cancella un prodotto puo' essere richiesto direttamente con il codice del prodotto da eliminare - il tutto senza richiedere autenticazione. Ho spiegato al mio amico che basterebbe qualche minuto per scrivere uno script che cancelli l'intero catalogo in poco tempo.
Ora la domanda e': possibile che questi tizi abbiano "dimenticato" di assicurarsi che una pagina/script cosi' importante faccia autenticazione dell'utente? Ho il sospetto che l'abbiano fatto apposta, anche se non so per quale motivo. Il dubbio ce l'ho anche perche' il modulo e' stato ritirato dal marketplace di Prestashop e lo vendono direttamente adesso; mi chiedo se quelli di Prestashop o qualche altro cliente che ha acquistato il modulo si e' accorto del problema.
Fatto sta che non ci vuole niente per cancellare l'intero negozio da remoto! Secondo voi ci sono gli estremi per una denuncia? Anche dato che il modulo e' a pagamento.
ps. nel caso qualcuno di voi usi Prestashop con un modulo per import/dropshipping e si sta chiedendo se e' vulnerabile, posso dare dettagli in privato cosi' non faccio nomi qui pubblicamente.