Skip to main content

Modèle de fiche de vulnérabilité

Chaque vulnérabilité découverte est documentée avec ce gabarit. La rigueur du format est ce qui distingue un rapport exploitable d'une simple liste de problèmes.


[ID] Titre de la vulnérabilité

Exemple : VULN-001 — Exposition de l'interface MongoDB sur le réseau

ChampValeur
IdentifiantVULN-00X
SurfaceWeb / API / Infrastructure / Base de données
CriticitéCritique / Élevée / Moyenne / Faible
Score CVSS v3.1X.X
Vecteur CVSSCVSS:3.1/AV:.../AC:.../...
StatutOuverte / Corrigée / Acceptée
Date de découverteJJ/MM/AAAA HH:MM

Description

Explication claire de la vulnérabilité : en quoi consiste-t-elle, où se situe-t-elle.

Preuve de concept (PoC)

La commande, la requête ou la manipulation qui démontre la vulnérabilité. Inclure une capture ou la sortie console.

# Exemple : commande utilisée pour confirmer la vulnérabilité
nmap -p 27017 10.0.20.10

Impact

Ce qu'un attaquant peut faire en exploitant cette faille. Relier à la confidentialité, l'intégrité, la disponibilité (CIA).

Détection associée

La vulnérabilité a-t-elle généré une alerte Wazuh ? Le SOAR a-t-il réagi ? (Cette ligne valorise la double lecture offensive/défensive.)

Recommandation

La correction à appliquer, concrète et actionnable.

Correction appliquée

Ce qui a été effectivement corrigé, avec la preuve (avant/après).


Aide à la cotation CVSS v3.1

Le score se construit sur le vecteur de base (Base Score). Les métriques principales :

MétriqueQuestion
AV (Attack Vector)D'où peut-on attaquer ? Réseau (N), Adjacent (A), Local (L), Physique (P)
AC (Attack Complexity)Facile (L) ou complexe (H) ?
PR (Privileges Required)Aucun (N), faibles (L), élevés (H) ?
UI (User Interaction)Une action de la victime est-elle nécessaire ? Aucune (N) / Requise (R)
S (Scope)L'impact dépasse-t-il le composant vulnérable ? Inchangé (U) / Modifié (C)
C/I/AImpact sur Confidentialité / Intégrité / Disponibilité : Aucun (N), Faible (L), Élevé (H)
Calculateur officiel

Utiliser le calculateur CVSS v3.1 du FIRST (first.org/cvss/calculator/3.1) pour obtenir le score et le vecteur exacts. Reporter le vecteur complet dans la fiche : il rend la cotation reproductible et défendable.

Exemple rempli (référence)

VULN-001 — Exposition hypothétique de MongoDB

ChampValeur
CriticitéCritique
Score CVSS v3.19.8
VecteurCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Description : le port MongoDB (27017) serait accessible depuis le réseau, sans authentification.

Impact : lecture/écriture complète des logs et enrichissements, altération des preuves.

Recommandation : réseau Docker internal: true, authentification activée, aucun port publié.

Note : dans SuperSOC, cette exposition est prévenue par conception (internal: true). Cet exemple illustre le format ; le test réel doit confirmer l'absence d'exposition.