Programa de divulgación de vulnerabilidades de Jotform

Garantizar la privacidad y seguridad de los datos de nuestros usuarios es una prioridad máxima para Jotform. Por tanto, si cree que ha detectado una vulnerabilidad de seguridad que afecte a cualquier producto de Jotform, notifíquelo de acuerdo con las directrices que se indican a continuación. Valoramos el impacto positivo de su trabajo y le agradecemos de antemano su contribución.

Para más información sobre nuestro programa VDP y sus requisitos, siga leyendo.

Ver reglas

Respuesta

Jotform no proporciona ningún objetivo de respuesta para este programa

Política de divulgación

  • Infórmenos cuando descubra un problema de seguridad real o potencial.
  • Envíe una descripción clara y textual de la vulnerabilidad junto con los pasos para reproducirla.
  • Para que el reporte de vulnerabilidad sea comprensible, puede incluir anexos como video, capturas de pantalla o código de prueba de concepto según sea necesario.
  • No cause más mal que bien. No debe dejar los sistemas a los usuarios en un estado más vulnerable del que los encontró. No debe realizar pruebas ni actividades relacionadas que puedan degradar, dañar o destruir la información de nuestros sistemas, o que puedan afectar a nuestros usuarios. Mientras investiga una vulnerabilidad, si no está seguro de si debe continuar, comuníquese inmediatamente con el equipo de seguridad de Jotform.

Alcance

Sistemas de información de acceso público, propiedad web o datos de propiedad, operados o controlados por Jotform.

Vulnerabilidades que no califican

  • Robo de pestañas
  • Robo por clic (click-jacking)/redireccionamiento de Interfaz (UI-redressing), o problemas que sólo son vulnerables mediante el click-jacking.
  • Redirección abierta - a menos que se pueda demostrar un impacto de seguridad adicional (como el robo de un token de autenticación, claves de API, etc.).
  • Ataques de denegación de servicio.
  • Auto-XSS sin un escenario de ataque razonable.
  • Inyectar HTML en los emails que se enviarán a través de Jotform.
  • Toma de huellas dactilares en servicios comunes/públicos.
  • Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt, sitemap.xml).
  • Divulgación de información sin impacto significativo.
  • Problemas de versión y configuración de SSL/TLS, cifrados débiles o certificados caducados.
  • Ataque cruzado a sitios web (CSRF) con implicaciones mínimas de seguridad (por ejemplo, CSRF de inicio de sesión/cierre de sesión).
  • Problemas asociados con SPF/DKIM/DMARC
  • Falta de encabezados de seguridad o configuración incorrecta (por ejemplo, CSP, HSTS) que no conducen directamente a una vulnerabilidad.
  • Ausencia de banderas de seguridad o de sólo HTTP en las cookies.
  • Divulgación de versión de software vulnerable sin prueba de riesgo.
  • Reportes de herramientas automatizadas.
  • Inserción de valores separados por comas (CSV).
  • Los metadatos EXIF no se eliminan de las imágenes.
  • Ataques por fuerza bruta.
  • Escenarios que requieren una improbable interacción con el usuario y/o un sistema operativo o una versión de software obsoletos.
  • Ataques que requieren el uso del intermediario (MITM) o el acceso físico al dispositivo del usuario.
  • Errores que no suponen ningún riesgo para la seguridad.

Nuestras prioridades incluyen

  • Exposición de datos confidenciales
  • Ejecución de código remoto (RCE)
  • Falsificación de petición en sitios cruzados (CSRF)
  • Scripts de sitios cruzados (XSS)
  • Suplantación de identidad en el sitio (CSRF)
  • Inyección SQL
  • Ataques a entidades externas XML (XXE)
  • Violaciones de control de acceso (referencia directa a objetos inseguros, escalada de privilegios, acceso roto, etc.)
  • Problemas con la ruta/directorio

Reglamento del programa

  • Nunca utilice los hallazgos para comprometer el sistema, extraer datos o pasar a otros sistemas. Envíe su reporte en cuanto haya descubierto una vulnerabilidad.
  • Si durante la evaluación se topa con información delicada, como información personal, credenciales, etc., no guarde, copie, almacene, transfiera, divulgue o conserve los datos o la información personal.
  • No haga ingeniería social, phishing y ataques contra la seguridad física de las oficinas, los usuarios o los empleados de Jotform.
  • Está estrictamente prohibido revelar cualquier vulnerabilidad sin el permiso explícito de Jotform.
  • Sea respetuoso cuando interactúe con nuestro equipo.

Si no cumple las normas, puede ser expulsado del programa de divulgación de vulnerabilidades de Jotform.

Jotform se reserva el derecho a modificar el reglamento de este programa o a considerar inválido cualquier envío en cualquier momento. No hay ninguna compensación monetaria asociada al programa de divulgación de vulnerabilidades (VDP). Jotform puede interrumpir el VDP sin previo aviso en cualquier momento.

Divulgación

Tenga en cuenta que no existe ningún SLA asociado al programa de divulgación de vulnerabilidades y que las respuestas a sus reportes quedan a la entera discreción de Jotform. Independientemente de que le respondamos o no, este programa no permite la divulgación por su parte a terceros. No puede divulgar públicamente información sobre vulnerabilidades encontradas en este programa, ni compartir sus descubrimientos con otros investigadores de seguridad.

Actividad protegida

Cualquier actividad realizada de forma coherente con esta política se considerará una conducta autorizada. Si un tercero inicia una acción legal contra usted en relación con las actividades llevadas a cabo en virtud de esta política, tomaremos medidas para que se sepa que sus acciones se llevaron a cabo de acuerdo con esta política.

Gracias por ayudar a mantener la seguridad de Jotform y de nuestros usuarios