Your cart
Non ci sono più articoli nel tuo carrello
🚨 Segnalazione di una vulnerabilità
La sicurezza dei nostri moduli e dei nostri clienti è fondamentale. Ecco perché incoraggiamo i ricercatori di sicurezza ad analizzare i nostri moduli e a segnalarci eventuali vulnerabilità, seguendo le buone pratiche di divulgazione responsabile.
Se ritieni di aver scoperto una vulnerabilità in uno dei nostri moduli, puoi segnalarla responsabilmente a: info@idnovate.com.
Ti preghiamo di fornire quanti più dettagli possibili (descrizione, impatto, versione interessata, passaggi per riprodurla).
📜 La nostra politica di gestione delle vulnerabilità
In conformità con la Carta per la Cybersicurezza Responsabile di TouchWeb, il nostro team applica i seguenti principi:
- Conferma di ricezione di ogni segnalazione rilevante entro massimo 7 giorni. (CVSS ≥ 4.0)
- Analisi dell’impatto e pianificazione della correzione entro massimo 30 giorni.
- Pubblicazione di un avviso di sicurezza con un ID CVE se il punteggio CVSS è ≥ 7.5.
- Nessuna correzione verrà mai pubblicata in silenzio.
Inoltre, ci impegniamo a gestire le vulnerabilità in modo responsabile ed etico:
- Non intraprenderemo azioni legali contro ricercatori che agiscono in buona fede, in particolare nell’ambito del programma YesWeHack gestito da TouchWeb SAS.
- Garantiamo che nessun accordo di riservatezza, anche in contesti white-label, impedirà la pubblicazione trasparente di un avviso di sicurezza con un ID CVE, secondo le migliori pratiche del settore.
Siamo pienamente consapevoli che questa trasparenza è essenziale per consentire alle terze parti coinvolte (agenzie, commercianti, ecc.) di rispettare i propri obblighi di conformità, in particolare nel quadro dello standard PCI-DSS o di una delle sue versioni semplificate, come la SAQ-A.
🛡️ Autorizzazione alla pubblicazione
Autorizziamo espressamente la società TouchWeb SAS a pubblicare sul proprio sito ufficiale informazioni relative alle vulnerabilità corrette nei nostri moduli, in conformità con gli impegni della Carta per la Cybersicurezza Responsabile.
Questa pubblicazione può includere:
- Un identificativo CVE associato alla vulnerabilità.
- Un avviso di sicurezza che descriva chiaramente il problema e la relativa soluzione.
- Le versioni interessate e la versione contenente la correzione.
- Una patch facile da applicare quando l'aggiornamento è difficile da implementare.
- Qualsiasi informazione utile per aiutare utenti e agenzie a proteggersi rapidamente.
🔍 Divulgazione
Di seguito l’elenco delle vulnerabilità di sicurezza note e corrette:
| Data | Modulo | Versione Interessata | Versione Corretta | CWE | CVSS | CVE |
|---|---|---|---|---|---|---|
| 2023-10-31 | superuser | >= 2.3.5 | 2.4.2 | CWE-305 CWE-639 |
7.5 | CVE-2023-45899 |
| 2023-04-12 | advancedpopupcreator | <= 1.1.24 | 1.1.25 | CWE-89 | 9.8 | CVE-2023-27032 |