Respuesta
Jotform no proporciona ningún objetivo de respuesta para este programa
Política de divulgación
- Infórmenos cuando descubra un problema de seguridad real o potencial.
- Envíe una descripción clara y textual de la vulnerabilidad junto con los pasos para reproducirla.
- Para que el reporte de vulnerabilidad sea comprensible, puede incluir anexos como video, capturas de pantalla o código de prueba de concepto según sea necesario.
- No cause más mal que bien. No debe dejar los sistemas a los usuarios en un estado más vulnerable del que los encontró. No debe realizar pruebas ni actividades relacionadas que puedan degradar, dañar o destruir la información de nuestros sistemas, o que puedan afectar a nuestros usuarios. Mientras investiga una vulnerabilidad, si no está seguro de si debe continuar, comuníquese inmediatamente con el equipo de seguridad de Jotform.
Alcance
Sistemas de información de acceso público, propiedad web o datos de propiedad, operados o controlados por Jotform.
Non-Qualifying Vulnerabilities
- Tab-nabbing.
- Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
- Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
- Denial-of-service attacks.
- Self-XSS without a reasonable attack scenario.
- Injecting HTML to the emails which will be sent through Jotform.
- Fingerprinting on common/public services.
- Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
- Information disclosure without significant impact.
- SSL/TLS version and configuration issues, weak ciphers or expired certificates.
- Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
- SPF/DKIM/DMARC related issues.
- Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
- Missing Secure or HTTPOnly flags on cookies.
- Vulnerable software version disclosure without proof of exploitability.
- Reports from automated tools.
- Comma Separated Values (CSV) injection.
- EXIF metadata not being stripped from images.
- Brute-force attacks.
- Scenarios that require unlikely user interaction and/or outdated OS or software version.
- Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
- Bugs that do not pose any security risk.
Nuestras prioridades incluyen
- Sensitive Data Exposure
- Remote Code Execution (RCE)
- Server-Side Request Forgery (SSRF)
- Cross-site Scripting (XSS)
- Cross-site Request Forgery (CSRF)
- SQL Injection
- XML External Entity Attacks (XXE)
- Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
- Path/Directory Traversal Issues
Reglamento del programa
- Nunca utilice los hallazgos para comprometer el sistema, extraer datos o pasar a otros sistemas. Envíe su informe en cuanto haya descubierto una vulnerabilidad.
- If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
- Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
- It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
- Be respectful when you are interacting with our team.
Si no cumple las normas, puede ser expulsado del programa de divulgación de vulnerabilidades de Jotform.
Jotform se reserva el derecho a modificar el reglamento de este programa o a considerar inválido cualquier envío en cualquier momento. No hay ninguna compensación monetaria asociada al programa de divulgación de vulnerabilidades (VDP). Jotform puede interrumpir el VDP sin previo aviso en cualquier momento.
Disclosure
Tenga en cuenta que no existe ningún SLA asociado al programa de divulgación de vulnerabilidades y que las respuestas a sus reportes quedan a la entera discreción de Jotform. Independientemente de que le respondamos o no, este programa no permite la divulgación por su parte a terceros. No puede divulgar públicamente información sobre vulnerabilidades encontradas en este programa, ni compartir sus descubrimientos con otros investigadores de seguridad.
Safe Harbor
Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.
Thank you for helping keep Jotform and our users safe!