Your cart
Il n'y a plus d'articles dans votre panier
🚨 Signalement d'une vulnérabilité
La sécurité de nos modules et de nos clients est primordiale. C’est pourquoi nous encourageons les chercheurs en sécurité à analyser nos modules et à nous signaler toute vulnérabilité identifiée, conformément aux bonnes pratiques de divulgation responsable.
Si vous pensez avoir découvert une vulnérabilité dans l’un de nos modules, vous pouvez la signaler de manière responsable à : info@idnovate.com.
Veuillez fournir autant de détails que possible (description, impact, version affectée, étapes de reproduction).
📜 Notre politique de gestion des vulnérabilités
Conformément à la Charte de cybersécurité responsable de TouchWeb, notre équipe applique les principes suivants :
- Accusé de réception de tout rapport pertinent sous 7 jours maximum. (CVSS ≥ 4.0)
- Analyse d’impact et planification de la correction sous 30 jours maximum.
- Publication d’un avis de sécurité avec un identifiant CVE si le score CVSS est ≥ 7.5.
- Aucune correction ne sera publiée de manière silencieuse.
Parallèlement, nous nous engageons à gérer les vulnérabilités de manière responsable et éthique :
- Nous n’intenterons aucune action en justice contre les chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.
- Nous garantissons qu’aucun accord de confidentialité, y compris dans un contexte de marque blanche, n’empêchera la publication transparente d’un avis de sécurité avec un identifiant CVE, conformément aux meilleures pratiques du secteur.
Nous sommes pleinement conscients que cette transparence est essentielle pour permettre aux tiers concernés (agences, commerçants, etc.) de remplir leurs obligations de conformité, notamment dans le cadre de la norme PCI-DSS ou d’une version simplifiée comme la SAQ-A.
🛡️ Autorisation de publication
Nous autorisons expressément la société TouchWeb SAS à publier sur son site officiel des informations relatives aux vulnérabilités corrigées dans nos modules, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication peut inclure :
- Un identifiant CVE associé à la vulnérabilité.
- Un avis de sécurité décrivant clairement le problème et sa résolution.
- Les versions affectées et la version contenant la correction.
- Un correctif facile à appliquer lorsque les mises à jour sont difficiles à mettre en œuvre.
- Toute information utile pour aider les utilisateurs et agences à se protéger rapidement.
🔍 Divulgation
Voici la liste des vulnérabilités de sécurité connues et corrigées :
| Date | Module | Version Affectée | Version Corrigée | CWE | CVSS | CVE |
|---|---|---|---|---|---|---|
| 2023-10-31 | superuser | >= 2.3.5 | 2.4.2 | CWE-305 CWE-639 |
7.5 | CVE-2023-45899 |
| 2023-04-12 | advancedpopupcreator | <= 1.1.24 | 1.1.25 | CWE-89 | 9.8 | CVE-2023-27032 |