Open BarbUk opened 9 months ago
Voici ce que j'avais commencé:
---
layout: post
title: "[CVE-2023-33664] Improper neutralization of a SQL parameter in aicombinationsonfly module for PrestaShop"
product:
platform: PrestaShop
type: module
name: aicombinationsonfly
author: ai-dev
vulnerability:
cve: CVE-2023-33664
cwe: 89
cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
versions_affected:
from:
to: < 0.3.1
requires_deletion: false
source: Friends-Of-Presta.org
published_date: 2023-06-28
severity: critical (9.8)
categories: modules
author:
- 202-ecommerce.com
- TouchWeb.fr
- Friends-Of-Presta.org
meta: "CVE,PrestaShop,aicombinationsonfly"
---
Ce qui permettrai de définir le bloc Summary
comme ça:
## Summary
* **CVE ID**: [{{ page.vulnerability.cve }}](https://cve.mitre.org/cgi-bin/cvename.cgi?name={{ page.vulnerability.cve.id }})
* **Published at**: {{ page.vulnerability.published_date }}
* **Advisory source**: {{ page.vulnerability.source }}
* **Platform**: {{ page.product.platform }}
* **Product**: {{ page.product.name }}
* **Impacted release**: {{ page.vulnerability.versions_affected.from }} {{ page.vulnerability.versions_affected.to }}
* **Product author**: {{ page.product.author }}
* **Weakness**: [CWE-{{ page.vulnerability.cwe }}](https://cwe.mitre.org/data/definitions/{{ page.vulnerability.cwe.id }}.html)
* **Severity**: {{ page.vulnerability.severity }}
Ne pas oublier le : Discover credit qui doit se retrouver dans Summary si j'ai bien tout suivi
Le titre serait à renommer selon moi : Amélioration du template de l'advisory L'objectif premier n'est pas d'améliorer l'API, ça me semble être un besoin secondaire.
Ce qui nous intéresse ici :
Qu'en pensez vous ?
Liste des variables que je vois pour les advisories des modules : (en prenant pour base la structure de @BarbUk)
Module:
Vulnerability:
true
. Will be used to add a warning if actively exploited such as `WARNING : This exploit is actively used... -> Quelque chose de générique et court)true
)Patch :
patch_referralbyphone,patch
)
(Serait un fichier séparé)+ Les autres variables actuelles qui peuvent nous servir, comme le meta, layout, etc..
Le CWE
peut générer automatiquement le contenu.
Exemple avec le CWE-89
:
Title:
[{{ cve_id }}] Improper neutralization of SQL parameter(s) in {{ module.name }} module for PrestaShop
Short Description:
In the module “{{ module.name }}” ({{ module.technical_name }}) from version {{ vulnerability.version.from }} up to version {{ vulnerability.version.up_to }} from {{ module.author }} for PrestaShop, a guest can perform SQL injection in affected versions.
Des conditions doivent être mises en place en fonction du CWE et en fonction des paramètres de version (Par exemple si from
exist ou non.
Idéalement la severity
sera également issue vector string.
Les autres informations, comme la description longue ou le POC n'ont selon moi pas d'intérêt particulier à être mis en variable sauf si ceci peut aider pour l'API.
Le titre serait à renommer selon moi : Amélioration du template de l'advisory
Merci pour le retour. J'ai changé le titre.
Le but est donc:
versions_affected: from: to: < 0.3.1
to: devrait être un numéro de version fixe sans <
il manque la version on c'est fixé ou l'info si c'est fixé ou non
:fixedinversion: 0.3.1
Pour la severity: critical (9.8)
on peut se contenter du chiffre, ou alors rajouter un champ label, cela permettrait de filter les 9 et +
ajouter de la date de découverte de la CVE
Discuté en réunion :
Dans un second temps:
As discussed during meeting of Thursday 16, 2023: "Discovery credits" would probably replace "Advisory source". To validate in the new template.
In some rare cases like an security issue in a dependency like phpunit here : https://security.friendsofpresta.org/dependancies/2020/01/07/phpunit-CVE-2017-9841.html several modules are impacted. JSON from CVElist manage an array : https://github.com/CVEProject/cvelist/blob/master/2023/6xxx/CVE-2023-6921.json
"affects": {
"vendor": {
"vendor_data": [
{
"vendor_name": "PrestaShow",
"product": {
"product_data": [
{
"product_name": "PrestaShop Google Integrator",
"version": {
"version_data": [
{
"version_affected": "<",
"version_name": "0",
"version_value": "2.1.4"
}
]
}
}
]
}
}
]
}
},
Pour modifier l'api, il faut réorganiser les variables du front matter des CVE.
Nous avons actuellement un front matter avec les variables suivantes:
https://raw.githubusercontent.com/friends-of-presta/security-advisories/main/_posts/2023-05-30-myinventory.md
Ces variables sont utilisées dans l'api ainsi que pour la recherche.
Pour avancer, il faut déterminer les variables que l'on veut centraliser dans le front matter et qui permettra de dynamiser certain blocs.