Meldung einer Schwachstelle
Die Sicherheit unserer PrestaShop-Module und der von uns für unsere Kunden entwickelten Websites hat höchste Priorität. Deshalb ermutigen wir Sicherheitsexperten, unsere Module zu analysieren und uns erkannte Schwachstellen unter Einhaltung der Grundsätze der verantwortungsvollen Offenlegung zu melden.
Bitte geben Sie bei Ihrer Meldung so viele Details wie möglich an:
Erforderliche Informationen
→ Detaillierte Beschreibung: Erklären Sie klar die Art der entdeckten Schwachstelle
→ Auswirkungen: Beschreiben Sie mögliche Folgen für Nutzer oder Websites
→ Betroffene Versionen: Geben Sie die von der Schwachstelle betroffenen Modulversionen an
→ Schritte zur Reproduktion: Geben Sie eine Schritt-für-Schritt-Anleitung zur Reproduktion an
→ Proof of Concept: Fügen Sie nach Möglichkeit Screenshots oder relevante Codeausschnitte bei
Bitte beachten Sie, dass nicht reproduzierbare oder nicht direkt mit unseren Modulen verbundene Entdeckungen ignoriert werden.
Wir verpflichten uns, jede Schwachstelle zu identifizieren und zu beheben und während des gesamten Prozesses transparent mit allen Beteiligten zu kommunizieren.
Unsere Richtlinie zum Schwachstellenmanagement
Gemäß der TouchWeb-Charta für verantwortungsvolle Cybersicherheit verfolgt unser Team folgende Grundsätze:
- Eingangsbestätigung jeder relevanten Meldung innerhalb von maximal 7 Tagen (CVSS ≥ 7.5)
- Analyse der Auswirkungen und Planung eines Patches innerhalb von maximal 30 Tagen
- Veröffentlichung einer Sicherheitshinweises mit CVE, wenn der CVSS-Score ≥ 7.5 beträgt
- Kein stilles Veröffentlichen von Patches
Darüber hinaus verpflichten wir uns zu folgenden Maßnahmen für ein verantwortungsbewusstes und ethisches Schwachstellenmanagement:
- Keine rechtlichen Schritte gegen Forscher, die in gutem Glauben handeln, insbesondere im Rahmen des YesWeHack-Programms unter der Leitung von TouchWeb SAS
- Sicherstellung, dass keine Geheimhaltungsvereinbarung – auch nicht bei White-Label-Verträgen – die transparente Veröffentlichung eines Sicherheitshinweises mit CVE-ID verhindert, im Einklang mit dem Stand der Technik
Wir sind uns bewusst, dass Transparenz entscheidend ist, damit betroffene Dritte (Agenturen, Händler usw.) ihre Compliance-Verpflichtungen erfüllen können – insbesondere im Rahmen des PCI-DSS-Standards oder einer seiner vereinfachten Versionen wie SAQ-A.
Genehmigung zur Veröffentlichung
Wir erteilen der Firma TouchWeb SAS ausdrücklich die Genehmigung, Informationen über behobene Schwachstellen in unseren Modulen auf ihrer offiziellen Website zu veröffentlichen – gemäß den Verpflichtungen der Charta für verantwortungsvolle Cybersicherheit.
Diese Veröffentlichung umfasst:
- Eine CVE-ID, die der Schwachstelle zugeordnet ist
- Einen Sicherheitshinweis, der das Problem und dessen Behebung klar beschreibt
- Die betroffenen Versionen und die korrigierte Version
- Einen leicht umsetzbaren Fix, falls ein Update nicht möglich ist
- Alle nützlichen Informationen, die es Agenturen und Nutzern ermöglichen, sich schnell zu schützen
Wir sind uns bewusst, dass Transparenz entscheidend ist, damit betroffene Dritte (Agenturen, Händler usw.) ihre Compliance-Verpflichtungen erfüllen können – insbesondere im Rahmen des PCI-DSS-Standards oder einer seiner vereinfachten Versionen wie SAQ-A.
Veröffentlichungen
Bisher keine Veröffentlichungen.