Cibersegurança

Política de segurança para os nossos módulos Prestashop Emblema de segurança cibernética responsável da TouchWeb

Transformado 30/05/2025

Reportagem de uma vulnerabilidade

A segurança dos nossos módulos Prestashop e dos nossos clientes ou utilizadores no caso de módulos gratuitos é essencial. Portanto, incentivamos os pesquisadores de segurança a realizar análises em nossos módulos e a relatar quaisquer vulnerabilidades identificadas para nós, de acordo com boas práticas de divulgação responsáveis.
Comprometemo-nos a identificar e reparar quaisquer vulnerabilidades e a comunicar de forma transparente com as partes envolvidas durante todo o processo.
Se você acha que descobriu uma vulnerabilidade em um de nossos módulos, você pode denunciá-la de forma responsável através da seção de formulário de contato 5 - Segurança. Para identificar e corrigir a vulnerabilidade o mais rápido possível, especifique:

  1. O nome do módulo
  2. VA versão do módulo
  3. Configuração do módulo (exibição de tela, se possível)
  4. A versão do Prestashop
  5. Tipo de vulnerabilidade (XSS, SQL Injection, CSRF, ECR, etc.)
  6. Passos precisos para reproduzir o feito ::
    • Instruções passo-a-passo
    • Código (roteiro, SQL, js...)
    • Capturas de tela ou vídeos, se possível
  7. Impacto (acesso de backoffice, roubo de dados, acesso não autorizado, elevação de privilégios, etc.).
  8. Meio ambiente ::
    • Versão do PHP
    • Servidor Web (Apache, Nginx, etc.)
    • Sistema operacional (Mac OS, Linux, Windows, etc.).

Informamos também que descobertas que não são reproduzíveis ou diretamente relacionadas com nossos módulos serão ignoradas.

Política de gestão da vulnerabilidade

De acordo com a Carta TouchWeb para Cibersegurança Responsável, nossa equipe aplica os seguintes princípios:

  • Agradecimento do recebimento de qualquer relatório relevante dentro de até 7 dias, CVSS 7.0
  • Avaliação de impacto e planejamento de correção no prazo máximo de 30 dias
  • Emissão de um aviso de segurança com CVE se a pontuação CVSS for de 7,5 euros
  • Nenhuma correção será publicada em silêncio.

Ao mesmo tempo, estamos assumindo os seguintes compromissos para garantir uma gestão responsável e ética das vulnerabilidades:

  • Não processe pesquisadores que atuem de boa fé, em particular no âmbito do programa YesWeHack gerenciado pela TouchWeb SAS
  • Garantir que nenhum acordo de confidencialidade, incluindo a marca branca, possa dificultar a publicação transparente de um aviso de segurança com um identificador CVE, de acordo com o estado da arte

Estamos bem cientes de que esta transparência é essencial para permitir que terceiros interessados (agências, comerciantes, etc.) cumpram as suas obrigações de conformidade, em particular ao abrigo da norma PCI-DSS ou de uma das suas versões simplificadas, como a SAQ-A.

Autorização para a publicação

Permitimos expressamente que a TouchWeb SAS publique informações sobre as vulnerabilidades corrigidas dos nossos módulos no seu site oficial, de acordo com os compromissos da Carta de Cibersegurança Responsável.

A publicação inclui:

  • Identificador CVE associado à vulnerabilidade
  • Uma nota de segurança que descreve claramente o problema e sua resolução
  • As versões em questão e a versão corrigida
  • Um patch fácil de implantar quando a atualização não é possível
  • Qualquer informação útil para permitir que usuários e agências se protejam rapidamente

Prevenção

Como é inerentemente muito difícil identificar falhas de segurança sem conhecimentos específicos e ferramentas de análise de código. A agência oferece um script de código aberto gratuito, que leva muito poucos recursos e alerta por e-mail se você modificar ou criar um arquivo em seu site. Ao executá-lo a cada 5 minutos, por exemplo, torna possível ser alertado em caso de intrusão e ser capaz de analisar os logs do servidor web, a fim de identificar de onde a falha pode vir.


Publicações de informação

Abaixo está uma lista de vulnerabilidades de segurança conhecidas e corrigidas:

Data de lançamento O módulo Versão da versão CWE CVSS CVE (em inglês)
Impacto Corrigido