Tu carrito
No hay más artículos en tu carrito
🚨 Reporte de una Vulnerabilidad
La seguridad de nuestros módulos y de nuestros clientes es prioritaria. Por eso animamos a los investigadores de seguridad a analizar nuestros módulos y notificarnos cualquier vulnerabilidad que identifiquen, siguiendo las buenas prácticas de divulgación responsable.
Si crees haber descubierto una vulnerabilidad en uno de nuestros módulos, puedes informarnos de forma responsable a través de: info@idnovate.com.
Por favor, proporciona el mayor nivel de detalle posible (descripción, impacto, versión afectada, pasos para reproducirlo).
📜 Nuestra Política de Gestión de Vulnerabilidades
De acuerdo con la Carta de Ciberseguridad Responsable de TouchWeb, nuestro equipo aplica los siguientes principios:
- Acuse de recibo de cualquier informe relevante en un plazo máximo de 7 días. (CVSS ≥ 4.0)
- Análisis del impacto y planificación de la corrección en un máximo de 30 días.
- Publicación de un aviso de seguridad con un ID CVE si la puntuación CVSS es ≥ 7.5.
- Ninguna corrección será publicada de forma silenciosa.
Paralelamente, asumimos los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:
- No tomaremos acciones legales contra investigadores que actúen de buena fe, especialmente dentro del programa YesWeHack gestionado por TouchWeb SAS.
- Garantizamos que ningún acuerdo de confidencialidad, incluso en contextos de marca blanca, impedirá la publicación transparente de un aviso de seguridad con un ID CVE, conforme a las mejores prácticas del sector.
Somos plenamente conscientes de que esta transparencia es esencial para que los terceros implicados (agencias, comerciantes, etc.) puedan cumplir con sus obligaciones normativas, especialmente dentro del marco del estándar PCI-DSS o una de sus versiones simplificadas, como SAQ-A.
🛡️ Autorización de Publicación
Autorizamos expresamente a la empresa TouchWeb SAS a publicar información relacionada con vulnerabilidades corregidas en nuestros módulos en su sitio web oficial, de acuerdo con los compromisos de la Carta de Ciberseguridad Responsable.
Esta publicación puede incluir:
- Un identificador CVE asociado a la vulnerabilidad.
- Un aviso de seguridad que describa claramente el problema y su resolución.
- Las versiones afectadas y la versión que contiene la corrección.
- Un parche fácil de aplicar cuando la actualización sea difícil de implementar.
- Cualquier información útil para ayudar a usuarios y agencias a protegerse rápidamente.
🔍 Divulgación
A continuación se muestra la lista de vulnerabilidades de seguridad conocidas y corregidas:
| Fecha | Módulo | Versión Afectada | Versión Corregida | CWE | CVSS | CVE |
|---|---|---|---|---|---|---|
| 2023-10-31 | superuser | >= 2.3.5 | 2.4.2 | CWE-305 CWE-639 |
7.5 | CVE-2023-45899 |
| 2023-04-12 | advancedpopupcreator | <= 1.1.24 | 1.1.25 | CWE-89 | 9.8 | CVE-2023-27032 |