Skip to content

Divulgation de la vulnérabilité de Mastercam

Présentation

Mastercam s’engage à corriger toutes les vulnérabilités de ses produits. Nous accueillons favorablement la collaboration avec les chercheurs qui découvrent ces problèmes et nous nous efforcerons de les résoudre rapidement. Nous accordons également une grande importance à la reconnaissance et à l’appréciation des contributions des chercheurs qui s’associent à nous pour améliorer la sécurité de Mastercam.

Domaines

  • Mastercam.com
  • my.Mastercam.com

Objectifs de réponse

Mastercam s’efforcera de respecter les accords de niveau de service suivants pour les participants à notre programme :

Type de réponseSLA en jours ouvrables
Première réponse2 ½D
Délai de triage5 jours
Délai de résolutionEn fonction de la gravité et de la complexité

Nous nous efforcerons de vous tenir informé de nos progrès tout au long du processus.

Règles du programme

  • Il est interdit aux employés ou aux parents d’employés de participer.
  • Veuillez fournir des rapports détaillés avec des étapes reproductibles ou une preuve de concept opérationnelle.
  • Soumettez une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour obtenir un impact.
  • Ne divulguez pas publiquement un problème de sécurité avant qu’il n’ait été résolu.

Priorité

Nous nous concentrons principalement sur les vulnérabilités critiques et de haute gravité qui mettent en péril la confidentialité, la disponibilité et l’intégrité d’une application, en mettant l’accent sur le Top 10 des risques de sécurité des applications de bureau de l’OWASP. Nous donnons la priorité aux types de vulnérabilités suivants :

  • Exposition aux données sensibles
  • Mauvaise utilisation de la cryptographie
  • Utilisation de composants dont les vulnérabilités sont connues
  • Insuffisance de la journalisation et de la surveillance
  • Qualité médiocre du code
  • Exécution de code à distance
  • Contournement de l’authentification
  • Préchargement de DLL
  • Questions relatives à la sérialisation
  • Débordements du tampon de la pile et du tas et écrasements de la mémoire
  • Utilisation après Gratuit
  • Traitement des entités externes XML dans les actions critiques

Champ d’application

Dans le champ d’application

À l’heure actuelle, nous recherchons uniquement des informations sur les vulnérabilités pour les versions prises en charge des applications et services suivants :

  • Produits Mastercam

Hors champ d’application

  • Les rapports concernant les CVE ou les vulnérabilités connues dans les applications de bureau et les versions non prises en charge seront classés comme informationnels, à moins qu’ils ne soient jugés critiques ou de haute sévérité. Les rapports critiques et de haute gravité seront évalués au cas par cas.
  • Rapports provenant d’outils automatisés ou d’analyses.
  • Chemin d’accès résultant de messages d’erreur.
  • Sites tiers (sites qui font référence à la marque Mastercam mais qui ne sont pas des propriétés de la société, des marchandises de marque, etc.)

Vulnérabilités hors du champ d’application

Lorsque vous signalez des vulnérabilités, veuillez prendre en compte (1) le scénario d’attaque/l’exploitabilité et (2) l’impact du bogue sur la sécurité. Les problèmes suivants sont considérés comme hors du champ d’application :

  • Attaques nécessitant un MITM ou un accès physique à l’appareil d’un utilisateur.
  • Bibliothèques vulnérables précédemment connues sans preuve de concept opérationnelle.
  • Toute activité susceptible d’entraîner une interruption de notre service (DoS).

Exclusions

Lors de vos recherches, veuillez vous abstenir de :

  • Déni de service (y compris DoS, DDoS).
  • Spamming.
  • Ingénierie sociale (y compris l’hameçonnage) du personnel, des sous-traitants ou des clients de Mastercam.
  • Toute tentative physique contre les biens ou les centres de données de Mastercam.

Politique d’éligibilité et de divulgation

  • Informez-nous dès que possible de la découverte d’une vulnérabilité potentielle et nous ferons tout notre possible pour résoudre rapidement le problème.
  • Accordez-nous un délai raisonnable pour résoudre le problème avant toute divulgation au public ou à des tiers.
  • Veuillez fournir des rapports détaillés avec des marches reproductibles.
  • Soumettez une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour obtenir un impact.

La sphère de sécurité

Code de conduite de HackerOne

Les activités conformes à cette politique et au code de conduite de HackerOne seront considérées comme autorisées et nous n’engagerons pas de poursuites judiciaires à votre encontre. Si une tierce partie entame une procédure judiciaire relative à des actions entreprises dans le cadre de cette politique, nous travaillerons activement à démontrer que vos activités étaient conformes. Nous apprécions vos efforts pour contribuer à la sécurité de Mastercam et de ses utilisateurs.

Formulaire de divulgation de la vulnérabilité