Your cart
W koszyku nie ma jeszcze produktów
🚨 Zgłaszanie luki w zabezpieczeniach
Bezpieczeństwo naszych modułów i naszych klientów jest dla nas najważniejsze. Dlatego zachęcamy badaczy bezpieczeństwa do analizowania naszych modułów i odpowiedzialnego zgłaszania wszelkich wykrytych luk zgodnie z najlepszymi praktykami ujawniania informacji.
Jeśli uważasz, że odkryłeś lukę w jednym z naszych modułów, możesz ją zgłosić pod adresem: info@idnovate.com.
Prosimy o podanie jak największej liczby szczegółów (opis, wpływ, wersja, kroki do odtworzenia).
📜 Nasza polityka zarządzania lukami
Zgodnie z Kartą Odpowiedzialnego Cyberbezpieczeństwa TouchWeb nasz zespół stosuje się do następujących zasad:
- Potwierdzenie otrzymania zgłoszenia w ciągu maksymalnie 7 dni. (CVSS ≥ 4.0)
- Analiza wpływu i zaplanowanie poprawki w ciągu maksymalnie 30 dni.
- Publikacja ostrzeżenia o bezpieczeństwie z identyfikatorem CVE, jeśli wynik CVSS wynosi ≥ 7.5.
- Żadna poprawka nie zostanie wydana po cichu.
Jednocześnie zobowiązujemy się do odpowiedzialnego i etycznego traktowania luk w zabezpieczeniach:
- Nie podejmiemy działań prawnych przeciwko badaczom działającym w dobrej wierze, w szczególności w ramach programu YesWeHack zarządzanego przez TouchWeb SAS.
- Gwarantujemy, że żadna umowa poufności – także w kontekście white-label – nie uniemożliwi przejrzystej publikacji ostrzeżenia z identyfikatorem CVE, zgodnie z najlepszymi praktykami branżowymi.
Jesteśmy w pełni świadomi, że przejrzystość ta jest kluczowa dla umożliwienia odpowiednim stronom trzecim (agencjom, sprzedawcom itd.) wypełnienia ich obowiązków zgodności – szczególnie w ramach standardu PCI-DSS lub jego uproszczonych wersji, takich jak SAQ-A.
🛡️ Zgoda na publikację
Wyrażamy wyraźną zgodę dla firmy TouchWeb SAS na publikację na swojej oficjalnej stronie internetowej informacji dotyczących załatanych luk w naszych modułach, zgodnie z postanowieniami Karty Odpowiedzialnego Cyberbezpieczeństwa.
Publikacja ta może zawierać:
- Identyfikator CVE powiązany z luką.
- Komunikat bezpieczeństwa jasno opisujący problem i jego rozwiązanie.
- Wersje dotknięte i wersję zawierającą poprawkę.
- Łatkę łatwą do zastosowania, jeśli aktualizacja jest trudna do wdrożenia.
- Wszelkie przydatne informacje, które pomogą użytkownikom i agencjom szybko się zabezpieczyć.
🔍 Ujawnienia
Poniżej znajduje się lista znanych i załatanych luk w zabezpieczeniach:
| Data | Moduł | Wersja Dotknięta | Wersja Naprawiona | CWE | CVSS | CVE |
|---|---|---|---|---|---|---|
| 2023-10-31 | superuser | >= 2.3.5 | 2.4.2 | CWE-305 CWE-639 |
7.5 | CVE-2023-45899 |
| 2023-04-12 | advancedpopupcreator | <= 1.1.24 | 1.1.25 | CWE-89 | 9.8 | CVE-2023-27032 |