BE-Hacktive
HackTricksTwitterLinkedInSponsorWebsite
French
French
  • BE-Hacktive
  • A propos de l'auteur et du projet
  • Table des matières
  • Contact
  • 🎬Synopsis
    • Technologie dans le temps
    • Cybersécurité
    • CVE
  • 🏆Eskooly - CVE
    • ESKOOLY (FR version)
    • ESKOOLY (EN version)
    • CVE-2024-27709 - SQL Injection in Eskooly Web Product v.3.0
    • ESkooly - Broken Authentication
      • CVE-2024-27710 - Privilege Escalation via Authentication Mechanism in Eskooly Web Product <= v3.0
      • CVE-2024-27711 - User Enumeration via Sign-up Process in Eskooly Web Product <= v3.0
      • CVE-2024-27712 - User Enumeration via Account Settings in Eskooly Web Product <= v3.0
    • CVE-2024-27713 - Protection mechanism Failure in Eskooly Web Product <= v3.0
    • CVE-2024-27715 - Inadequate Password Update Verification in Eskooly Web Product <= v3.0
    • CVE-2024-27716 - Cross-site Scripting (XSS) in Eskooly Web Product <= v3.0
    • CVE-2024-27717 - Cross-Site Request Forgery (CSRF) in Eskooly Web Product <= v3.0
  • 🚨Capsule 1 - Sensibilisation
    • Phishing
      • Phishing - Origines
      • Phishing - Evolution
      • Phishing - Statistiques
      • Phishing - Techniques
      • Phishing - Protection
    • Malware
      • Malware - Origines
      • Malware - Evolution
      • Malware - Catégories
      • Malware - Ransomware
    • Passwords - Mots de passe
      • Passwords - Origines
      • Passwords - Evolution de l'authentification
      • Passwords - Statistiques
      • Passwords - Protégez-vous
  • 🧨Capsule 2 - Ethical Hacking
    • Définition et Méthodologie
  • 🧰Capsule 3 - Outils
    • Burp Suite
      • Installation
      • Intercepter le trafic HTTP avec Burp Proxy
      • Définir le périmètre
      • Intruder et Repeater
  • Capsule 2 - Ethical Hacking
    • Page 1
  • 📖Articles
    • Cybersécurité 2023: 5 menaces majeures et comment s'en protéger
    • Suis-je victime des fuites de données ?
    • LOG4J: La librairie vulnérable qui secoue la planète
    • LOG4SHELL: VENI,VIDI,VICI
    • Protéger votre enfant en ligne: Conseils pour le "Safer Internet Day"
    • ChatGPT: Révolution ou menace ?
    • Le FBI démantèle Raptor Train : Un Botnet Chinois qui a Infecté 260 000 Appareils IoT dans le monde!
  • 🗞️News
    • Exploitation active des vulnérabilités de TP-Link, d'Apache et d'Oracle détectées
    • Microsoft insiste sur l'urgence de patcher les serveurs Exchange en local
Powered by GitBook
On this page
  • Introduction
  • Fonctionnement des CVEs
  • Importance des CVEs
  • Nombre de CVEs entre 2009 et 2023
  • Comment Publier un CVE
  • Informer CVE de votre publication
  • Conclusion
  1. Synopsis

CVE

Common Vulnerabilities and Exposures

PreviousCybersécuritéNextESKOOLY (FR version)

Introduction

Les CVEs, ou Common Vulnerabilities and Exposures, sont des identifiants uniques attribués à des vulnérabilités spécifiques de logiciels ou de systèmes. Leur création vise à standardiser la manière dont les vulnérabilités sont référencées et partagées dans la communauté de la cybersécurité. L'initiative CVE a été lancée par le MITRE Corporation en 1999 pour faciliter le partage d'informations critiques sur les failles de sécurité, permettant ainsi aux organisations de mieux se protéger contre les cybermenaces.

Fonctionnement des CVEs

Les CVEs sont attribuées par des organisations appelées CVE Numbering Authorities (CNAs). Une fois qu'une vulnérabilité est identifiée, elle est soumise à un CNA qui vérifie son authenticité avant de lui attribuer un identifiant unique. Ce processus garantit que chaque CVE est unique et que les informations sont partagées de manière standardisée.

La base de données CVE, maintenue par le MITRE, centralise toutes les vulnérabilités enregistrées, permettant aux chercheurs en sécurité et aux professionnels IT de consulter et de suivre les failles connues. Chaque CVE contient une description de la vulnérabilité, des informations sur les logiciels ou systèmes affectés, et des références à des correctifs ou solutions de contournement.

Importance des CVEs

Les CVEs jouent un rôle crucial dans la gestion des risques de sécurité. En identifiant et en cataloguant les vulnérabilités, elles permettent aux organisations de prioriser les mises à jour de sécurité et les correctifs. En comprenant quelles vulnérabilités existent et comment elles peuvent être exploitées, les entreprises peuvent mieux protéger leurs systèmes contre les cyberattaques.

Les mises à jour et patches de sécurité sont souvent déclenchés par des CVEs. Lorsqu'une nouvelle vulnérabilité est découverte, les développeurs travaillent rapidement pour créer des correctifs qui sont ensuite déployés pour atténuer les risques.

Nombre de CVEs entre 2009 et 2023

D'après une étude de STATISTA 2024, le nombre de vulnérabilités et d'expositions courantes en matière de sécurité informatique (CVE) est en augmentation.

Comment Publier un CVE

Soumettre une nouvelle vulnérabilité pour l'attribution d'un CVE suit un processus bien défini. Les étapes incluent la découverte de la vulnérabilité, la documentation complète des détails techniques, et la soumission à un CNA pour vérification. Une fois validée, la vulnérabilité reçoit un numéro CVE et est ajoutée à la base de données.

Il suffit de se rendre sur le site https://cveform.mitre.org et d'enregistrer son CVE, et c'est tout?

Pas vraiment. Tout d'abord, on doit remplir un certain nombre d'informations.

La meilleure ressource pour comprendre et compléter le formulaire:

Après avoir rempli le formulaire web, on reçoit une confirmation que le(s) CVE(s) est(sont) enregistré(s) et on obtient un numéro comme CVE-YEAR-NUMBER (CVE-2024-XXXXX). Ce ne sera pas publié tant qu'on n'a pas envoyé une publication pour la vulnérabilité, donc en attendant on peut/doit communiquer avec le vendeur pour que le problème soit résolu. La publication peut être effectuée par le fournisseur si la réponse est présente dans le délai qu'on a choisi, sinon le publier nous-même:

  • Sur votre blog

  • Via Exploit-DB

  • etc...

❗❗❗ ATTENTION ❗❗❗

Il est TRES fortement déconseiller de publier vous-même sans avoir d'abord essayé à plusieurs reprises d'établir un contact avec le vendeur et de vous assurer que ce dernier comprend réellement la vulnérabilité.

Il s'agit là d'un point essentiel, les CVE étant censés contribuer à améliorer la sécurité et non à la réduire.

Informer CVE de votre publication

Dernière étape : Retournez sur https://cveform.mitre.org/, mais cette fois-ci, sélectionnez "Notify CVE About a Publication". Partagez le lien vers votre article. L'équipe CVE vérifie la publication et met à jour sa base de données, consolidant ainsi votre contribution.

Conclusion

Les CVEs sont essentielles pour maintenir la sécurité des systèmes informatiques. En standardisant la manière dont les vulnérabilités sont identifiées et partagées, elles aident à prévenir les cyberattaques et à protéger les données sensibles. Pour ceux qui souhaitent approfondir leurs connaissances, de nombreuses ressources sont disponibles pour explorer le sujet plus en détail.

🎬
"Key Details Phrasing" by Jonathan Evans, MITRE
MITRE CORPORATION - CVE
NATIONAL VULNERABILITY DATABASE - NIST
CVEDetails.com
CVE.MITRE.ORG
Nombre de vulnérabilités et d'expositions courantes en matière de sécurité informatique (CVE) dans le monde de 2009 à 2023