aReporte de una vulnerabilidad
La seguridad de nuestros módulos y de nuestros clientes es primordial. Por eso animamos a los investigadores en seguridad a analizar nuestros módulos y a notificarnos cualquier vulnerabilidad detectada, respetando las buenas prácticas de divulgación responsable.
Nos comprometemos a identificar y corregir cualquier vulnerabilidad, y a comunicarnos de manera transparente con todas las partes implicadas durante todo el proceso.
Si cree haber descubierto una vulnerabilidad en uno de nuestros módulos, puede informarla de manera responsable a la siguiente dirección: Contáctenos.
Le invitamos a proporcionar la mayor cantidad de detalles posible (descripción, impacto, versión afectada, pasos para reproducir).
Nuestra política de gestión de vulnerabilidades
De acuerdo con la Carta TouchWeb para una ciberseguridad responsable, nuestro equipo aplica los siguientes principios:
- Acuse de recibo de cualquier informe relevante en un máximo de 7 días. (CVSS ≥ 4.0)
- Análisis de impacto y planificación de la corrección en un máximo de 30 días.
- Publicación de un aviso de seguridad con un identificador CVE si la puntuación CVSS es ≥ 7.5.
- Ninguna corrección se publicará de forma silenciosa.
Paralelamente, asumimos los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:
- No emprender acciones legales contra investigadores que actúen de buena fe, especialmente en el marco del programa YesWeHack gestionado por TouchWeb SAS.
- Garantizamos que ningún acuerdo de confidencialidad, incluso en el caso de trabajos en marca blanca, impedirá la publicación transparente de un aviso de seguridad con identificador CVE, conforme a las mejores prácticas del sector.
Somos plenamente conscientes de que esta transparencia es esencial para permitir a las terceras partes implicadas (agencias, comerciantes, etc.) cumplir con sus obligaciones de conformidad, especialmente en el marco del estándar PCI-DSS o de alguna de sus versiones simplificadas, como la SAQ-A.
Autorización de publicación
Autorizamos expresamente a la empresa TouchWeb SAS a publicar información relacionada con las vulnerabilidades corregidas en nuestros módulos en su sitio web oficial, de acuerdo con los compromisos establecidos en la Carta de Ciberseguridad Responsable.
Esta publicación puede incluir:
- Un identificador CVE asociado a la vulnerabilidad.
- Un aviso de seguridad que describa claramente el problema y su solución.
- Las versiones afectadas y la versión con la corrección.
- Un parche fácil de aplicar cuando la actualización no sea posible.
- Cualquier información útil para que usuarios y agencias puedan protegerse rápidamente.
Publicación
A continuación, encontrará la lista de vulnerabilidades de seguridad conocidas y corregidas:
| Fecha | Módulo | Versión | CWE | CVSS | CVE | |
|---|---|---|---|---|---|---|
| Afectada | Corregida | |||||
| 2023-05-02 | Export Clients (scexportcustomer) | <= 3.6.1 | 3.6.2 | CWE-359 | 7.5 | CVE-2023-30282 |
| 2023-05-04 | Export Commandes (scquickaccounting) | <= 3.7.3 | 3.7.4 | CWE-359 | 7.5 | CVE-2023-30281 |
| 2023-05-25 | FixMyPrestashop * (scfixmyprestashop) | TODOS | Borrar el módulo | CWE-89 | 9.8 | CVE-2023-33279 |
* La versión de FixMyPrestaShop incluida en Store Commander no está impactada por esa vulnerabilidad.