Skip to content

Avslöjande av sårbarhet i Mastercam

Översikt

Mastercam är fast beslutna att åtgärda eventuella sårbarheter i våra produkter. Vi välkomnar samarbete med forskare som upptäcker dessa problem och kommer att sträva efter att lösa dem snabbt. Vi lägger också stor vikt vid att erkänna och uppskatta bidragen från forskare som samarbetar med oss för att förbättra säkerheten i Mastercam.

Domäner

  • Mastercam.com
  • my.Mastercam.com

Mål för respons

Mastercam kommer att sträva efter att uppfylla följande SLA för deltagare i vårt program:

Typ av svarSLA inom arbetsdagar
Första svaret2 dagar
Tid till triagering5 dagar
Tid till lösningBeroende på allvarlighetsgrad och komplexitet

Vi kommer att sträva efter att hålla dig informerad om våra framsteg under hela processen.

Programregler

  • Anställda eller anhöriga till anställda får inte delta.
  • Vänligen lämna detaljerade rapporter med reproducerbara steg eller ett fungerande Proof of Concept
  • Skicka in en sårbarhet per rapport, såvida du inte behöver kedja sårbarheter för att ge effekt.
  • Offentliggör inte ett säkerhetsproblem innan det har åtgärdats.

Prioritet

Vårt huvudfokus ligger på kritiska och mycket allvarliga sårbarheter som äventyrar konfidentialiteten, tillgängligheten och integriteten i en applikation, med tonvikt på OWASP Top 10 Desktop Application Security Risks. Vi prioriterar följande typer av sårbarheter:

  • Exponering av känslig data
  • Felaktig användning av kryptografi
  • Använda komponenter med kända sårbarheter
  • Otillräcklig loggning och övervakning
  • Dålig kodkvalitet
  • Exekvering av fjärrkod
  • Omkoppling av autentisering
  • Förladdning av DLL
  • Problem med serialisering
  • Stack/Heap-buffertöverflöd och minnesöverskrivning
  • Använd efter Free
  • XML External Entity Processing vid kritiska åtgärder

Omfattning

I omfattning

För närvarande söker vi endast feedback om sårbarheter för de versioner som stöds av följande applikationer och tjänster:

  • Mastercam-produkter

Utanför räckvidd

  • Rapporter om CVE:er eller kända sårbarheter i skrivbordsprogram och versioner som inte stöds kommer att klassificeras som information om de inte bedöms vara kritiska eller mycket allvarliga. Kritiska rapporter och rapporter med hög allvarlighetsgrad kommer att bedömas från fall till fall.
  • Rapporter från automatiserade verktyg eller skanningar.
  • Upplysningar om tåglägen till följd av felmeddelanden.
  • Webbplatser från tredje part (webbplatser som hänvisar till Mastercam-varumärket men som inte är företagets egendom, märkesvaror etc.)

Sårbarheter som inte omfattas

När du rapporterar sårbarheter ska du ta hänsyn till (1) attackscenario/exploaterbarhet och (2) säkerhetspåverkan av felet. Följande frågor anses vara utanför räckvidden:

  • Angrepp som kräver MITM eller fysisk åtkomst till en användares enhet.
  • Tidigare kända sårbara bibliotek utan ett fungerande Proof of Concept.
  • All aktivitet som kan leda till avbrott i vår tjänst (DoS).

Undantag

När du forskar, vänligen avstå från:

  • Nekande av tjänst (inklusive DoS, DDoS).
  • Spamming.
  • Social ingenjörskonst (inklusive nätfiske) Mastercams personal, entreprenörer eller kunder.
  • Alla fysiska försök mot Mastercams egendom eller datacenter.

Policy för berättigande och information

  • Meddela oss så snart som möjligt när du upptäcker en potentiell sårbarhet, så kommer vi att göra allt vi kan för att snabbt lösa problemet.
  • Ge oss rimlig tid att lösa problemet innan vi lämnar ut det till allmänheten eller tredje part.
  • Vänligen lämna detaljerade rapporter med reproducerbara steg.
  • Skicka in en sårbarhet per rapport, såvida du inte behöver kedja sårbarheter för att ge effekt.

Safe Harbor

HackerOnes uppförandekod

Aktiviteter som är i linje med denna policy och HackerOnes uppförandekod kommer att betraktas som auktoriserade och vi kommer inte att vidta rättsliga åtgärder mot dig. Om en tredje part inleder rättsliga förfaranden relaterade till åtgärder som vidtagits enligt denna policy, kommer vi aktivt att arbeta för att visa att dina aktiviteter var i överensstämmelse. Vi uppskattar dina ansträngningar att hjälpa till att hålla Mastercam och våra användare säkra.

Formulär för avslöjande av sårbarhet