En las últimas semanas, algunos usuarios están recibiendo gran cantidad de emails en chino o ruso pertenecientes al formulario de contacto de su tienda online. Esto se debe a una vulnerabilidad de PrestaShop 1.6. erradicada en la versión de PrestaShop 1.6.1.17.
Si tu tienda online está sufriendo de estos envíos masivos, debes realizar los siguientes cambios:
Editar el fichero situado en la carpeta /controllers/front/ llamado "ContactController.php"
Primero, realizar una copia del archivo para evitar males mayores en caso de algún error de sintaxis a la hora de realizar los cambios.
Después de la siguiente línea de código:
if (Tools::isSubmit('submitMessage')) {
que suele encontrarse en la línea 38 añade la siguiente línea:
$saveContactKey = $this->context->cookie->contactFormKey;
Después de la siguiente línea de código
$message = Tools::getValue('message'); // Html entities is not usefull, iscleanHtml check there is no bad html tags.
que suele encontrarse en la línea 41 añade la siguiente línea:
$url = Tools::getValue('url');
Después de la siguiente línea de código:
$this->errors[] = Tools::displayError('Bad file extension');
que suele encontrarse en la línea 53 añade las siguientes líneas:
} elseif ($url === false || !empty($url) || $saveContactKey != (Tools::getValue('contactKey'))) {
$this->errors[] = Tools::displayError('An error occurred while sending the message.');
Después de las siguientes líneas de código:
$this->context->smarty->assign('customerThread', $customer_thread);
}
que suele encontrarse entre la línea 247 y 249 añade la siguientes líneas:
$contactKey = md5(uniqid(microtime(), true));
$this->context->cookie->__set('contactFormKey', $contactKey);
Sustituye la línea de código siguiente:
'message' => html_entity_decode(Tools::getValue('message'))
que suele encontrarse en la línea 252 por la siguientes líneas de código:
'message' => html_entity_decode(Tools::getValue('message')),
'contactKey' => $contactKey,
Guarda el archivo con los cambios realizados.
Editar el fichero situado en la carpeta del tema utilizado /themes/nombre del tema/ llamado "contact-form.tpl"
Primero, realizar una copia del archivo para evitar males mayores en caso de algún error de sintaxis a la hora de realizar los cambios.
Antes de la siguiente línea de código:
< button id="submitMessage" class="button btn btn-default button-medium" name="submitMessage" type="submit">{l s='Send'}
que suele encontrarse en la línea 151 añade las siguientes líneas de código:
< input class="hidden" name="url" type="text" value="" />
Guarda el archivo con los cambios realizados.
Eliminar la caché de Prestashop
Por último, accede a tu panel de administración de Prestashop, a la sección de "Parametros Avanzados" > "Rendimiento" y pulsa en "Clear Cache".
Con estos pasos dejarás de recibir estos emails masivos escritos en ruso y chino.
Fuente: https://github.com/PrestaShop/PrestaShop/pull/8168/files