Ciberseguridad

Política de seguridad para nuestros módulos de Prestashop

Modenalada última 30/05/2025

Informar de una vulnerabilidad

La seguridad de nuestros módulos de Prestashop y de nuestros clientes o usuarios en el caso de módulos gratuitos es esencial. Por lo tanto, animamos a los investigadores de seguridad a realizar análisis de nuestros módulos y a reportar cualquier vulnerabilidad identificada a nosotros, de acuerdo con las buenas prácticas responsables de divulgación.
Nos comprometemos a identificar y corregir cualquier vulnerabilidad, y a comunicarnos de manera transparente con las partes interesadas durante todo el proceso.
Si crees que has descubierto una vulnerabilidad en uno de nuestros módulos, puedes reportárselo responsablemente a través de la sección 5 - Seguridad. Con el fin de identificar y poder corregir la vulnerabilidad lo antes posible, especifique:

1. Nombre del módulo
2. Versión del módulo
3. Configuración del módulo (imagen de captura de pantalla si es posible)
4. Versión de Prestashop
5. Tipo de vulnerabilidad (XSS, SQL Inyección, CSRF, ECR, etc.)
6. Pasos precisos para reproducir la hazaña ::
   • Instrucciones paso a paso
   • Código (script, SQL, js...)
   • Capturas de pantalla o vídeos si es posible
7. Impacto (acceso de backoffice, robo de datos, acceso no autorizado, elevación de privilegios, etc.).
8. Medio ambiente ::
   • Versión PHP
   • Servidor web (Apache, Nginx, etc.)
   • Sistema operativo (Mac OS, Linux, Windows, etc.).

También le informamos que los descubrimientos que no se reproducible o no directamente relacionados con nuestros módulos serán ignorados.

Nuestra política de gestión de la vulnerabilidad

De acuerdo con la Carta TouchWeb para la Ciberseguridad Responsable, nuestro equipo aplica los siguientes principios:

• Acontecimiento de la recepción de cualquier informe pertinente en un plazo máximo de 7 días, CVSS 7.0
• Evaluación de impacto y planificación de la corrección en un plazo máximo de 30 días
• Emisión de un aviso de seguridad con CVE si la nota CVSS es de 7,5 euros
• Ninguna corrección se publicará en silencio.

Al mismo tiempo, estamos asumiendo los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:

• No juzgues a los investigadores que actúan de buena fe, en particular en el marco del programa YesWeHack gestionado por TouchWeb SAS
• Asegurar que ningún acuerdo de confidencialidad, incluida la etiqueta blanca, pueda obstaculizar la publicación transparente de un aviso de seguridad con un identificador de CVE, de acuerdo con el estado de la técnica

Somos muy conscientes de que esta transparencia es esencial para permitir a los terceros interesados (organismos, comerciantes, etc.) cumplir sus obligaciones de cumplimiento, en particular bajo la norma PCI-DSS o una de sus versiones simplificadas, como SAQ-A.

Autorización para publicación

Permitimos expresamente a TouchWeb SAS publicar información sobre las vulnerabilidades corregidas de nuestros módulos en su sitio web oficial, de acuerdo con los compromisos de la Carta de Ciberseguridad Responsable.

La publicación incluye:

• Un identificador de CVE asociado a la vulnerabilidad
• Una nota de seguridad que describe claramente el problema y su resolución
• Las versiones en cuestión y la versión corregida
• Un parche fácil de desplegar cuando no es posible actualizar
• Cualquier información útil que permita a los usuarios y agencias protegerse rápidamente

Prevención

Como es inherentemente muy difícil identificar fallas de seguridad sin experiencia específica y herramientas de análisis de código. La agencia ofrece un código abierto gratuito, que toma muy pocos recursos y le alerta por correo electrónico si modifica o crea un archivo en su sitio. Al ejecutarlo cada 5 minutos, por ejemplo, permite ser alertado en caso de intrusión y poder analizar los registros del servidor web con el fin de identificar de dónde puede salir el fallo.

Publicaciones

A continuación se muestra una lista de vulnerabilidades de seguridad conocidas y corregidas: