Skip to content

Divulgazione della vulnerabilità di Mastercam

Panoramica

Mastercam si impegna a risolvere qualsiasi vulnerabilità dei suoi prodotti. Siamo lieti di collaborare con i ricercatori che scoprono questi problemi e ci impegniamo a risolverli tempestivamente. Inoltre, attribuiamo grande importanza al riconoscimento e all’apprezzamento dei contributi dei ricercatori che collaborano con noi per migliorare la sicurezza di Mastercam.

Domini

  • Mastercam.com
  • my.Mastercam.com

Obiettivi di risposta

Mastercam si impegnerà a soddisfare i seguenti SLA per i partecipanti al nostro programma:

Tipo di rispostaSLA in giorni lavorativi
Prima risposta2 giorni
Tempo per il triage5 giorni
Tempo per la risoluzioneDipende dalla gravità e dalla complessità

Ci impegneremo a tenerti informato sui nostri progressi durante tutto il processo.

Regole del programma

  • Ai dipendenti o ai parenti dei dipendenti è vietato partecipare.
  • Fornisci rapporti dettagliati con passaggi riproducibili o un Proof of Concept funzionante.
  • Invia una vulnerabilità per ogni rapporto, a meno che non sia necessario concatenare le vulnerabilità per fornire l’impatto.
  • Non divulgare pubblicamente un problema di sicurezza prima che sia stato risolto.

Priorità

La nostra attenzione si concentra soprattutto sulle vulnerabilità critiche e di gravità elevata che mettono a rischio la riservatezza, la disponibilità e l’integrità di un’applicazione, con particolare attenzione alla OWASP Top 10 Desktop Application Security Risks. Diamo priorità ai seguenti tipi di vulnerabilità:

  • Esposizione di dati sensibili
  • Uso improprio della crittografia
  • Utilizzo di componenti con vulnerabilità note
  • Registrazione e monitoraggio insufficienti
  • Scarsa qualità del codice
  • Esecuzione di codice remoto
  • Bypass dell’autenticazione
  • Precarico della DLL
  • Problemi di serializzazione
  • Overflow dei buffer dello stack e dell’heap e sovrascrittura della memoria
  • Utilizza dopo la gratuità
  • Elaborazione di entità esterne XML in azioni critiche

Ambito di applicazione

In ambito

Al momento stiamo cercando feedback sulle vulnerabilità solo per le versioni supportate delle seguenti applicazioni e servizi:

  • Prodotti Mastercam

Fuori dal campo di applicazione

  • Le segnalazioni relative a CVE o vulnerabilità note in applicazioni desktop e versioni non supportate saranno classificate come informative, a meno che non siano considerate critiche o di gravità elevata. Le segnalazioni critiche e ad alta gravità saranno valutate caso per caso.
  • Rapporti provenienti da strumenti o scansioni automatizzate.
  • Divulgazione del percorso a seguito di messaggi di errore.
  • Siti di terze parti (siti che fanno riferimento al marchio Mastercam ma che non sono di proprietà dell’azienda, né di branding, etc.).

Vulnerabilità fuori portata

Nel segnalare le vulnerabilità, ti preghiamo di considerare (1) lo scenario di attacco/exploitability e (2) l’impatto sulla sicurezza del bug. I seguenti problemi sono considerati fuori portata:

  • Attacchi che richiedono il MITM o l’accesso fisico al dispositivo dell’utente.
  • Librerie vulnerabili precedentemente conosciute senza un Proof of Concept funzionante.
  • Qualsiasi attività che possa portare all’interruzione del nostro servizio (DoS).

Esclusioni

Durante la ricerca, astieniti da:

  • Negazione del servizio (inclusi DoS, DDoS).
  • Spamming.
  • Ingegneria sociale (incluso il phishing) del personale, degli appaltatori o dei clienti di Mastercam.
  • Qualsiasi tentativo di attacco fisico alle proprietà o ai centri dati di Mastercam.

Politica di ammissibilità e divulgazione

  • Comunicaci il prima possibile la scoperta di una potenziale vulnerabilità e faremo il possibile per risolvere rapidamente il problema.
  • Fornirci un periodo di tempo ragionevole per risolvere il problema prima di qualsiasi divulgazione al pubblico o a terzi.
  • Fornisci rapporti dettagliati con passaggi riproducibili.
  • Invia una vulnerabilità per ogni rapporto, a meno che non sia necessario concatenare le vulnerabilità per fornire l’impatto.

Porto sicuro

Codice di condotta di HackerOne

Le attività in linea con questa politica e con il Codice di Condotta di HackerOne saranno considerate autorizzate e non intraprenderemo azioni legali nei tuoi confronti. Nel caso in cui una terza parte dovesse avviare un procedimento legale relativo ad azioni intraprese in base a questa politica, ci impegneremo attivamente per dimostrare che le tue attività erano conformi. Apprezziamo il tuo impegno nel contribuire a mantenere Mastercam e i nostri utenti al sicuro.

Modulo di divulgazione delle vulnerabilità