Besuchen Sie uns auf der BIM WORLD MUNICH! ICM Messe München, Foyer, 1. Stock, Stand Nr. 305.

Vulnerability Disclosure Policy

Wir bitten Sie darum, uns über gefundene Schwachstellen in Webanwendungen und IT-Systemen der PMG Projektraum Management GmbH zu informieren. Wir werden umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben. Wir honorieren alle, die sich die Mühe machen, uns Schwachstellen entsprechend dieser Policy zu melden. Wir bieten keine monetären Belohnungen.

Wenn Sie glauben, eine Schwachstelle gefunden zu haben, übermitteln Sie uns bitte ihren Bericht an sec@pmgnet.de

Der Bericht sollte die folgenden Informationen bereitstellen

  1. Titel
  2. Schwachstellentyp
  3. Schweregrad (niedrig / mittel / hoch / kritisch)
  4. Betroffenes Asset* (Webseite, IP, Produkt, Service, etc.)
  5. Beschreibung der Schwachstelle*
    • Zusammenfassung der Schwachstelle
    • Unterstützende Dateien (Screenshot oder Video)
    • Lösungshinweise
  1. Schritte, um die Schwachstelle zu reproduzieren*
    • Klare Beschreibung der notwendigen Schritte, um die Schwachstelle zu reproduzieren
    • Proof of Concept Code, falls vorhanden
  1. Auswirkung
    • Die Auswirkung, die ein erfolgreiches Ausnutzen der Schwachstelle zur Folge hat
  1. Kontaktdaten*
    • Wir benötigen eine Möglichkeit, bei Rückfragen mit Ihnen Kontakt aufzunehmen.
  1. Einverständniserklärung zur Nennung des Namens / Aliases und der gefundenen Schwachstelle in der Danksagung

*Pflichtangabe

Gehen Sie bitte wie folgt vor

  • Nutzen Sie gefundene Schwachstellen nicht aus, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen. Führen Sie keine Angriffe (Social Engineering, DDoS, etc.) auf die Projektraum Management GmbH durch.

 

  • Verwenden Sie keine automatisierten Scans um Schwachstellen zu finden.

 

  • Geben Sie Informationen über die Schwachstelle nicht ohne Freigabe der PMG Projektraum Management GmbH an Dritte weiter. Verletzen Sie nicht die Rechte von Benutzern und Mitarbeitenden der PMG Projektraum Management GmbH, indem Sie Daten weitergeben.

 

  • Entfernen Sie alle ggf. erlangten Informationen, sobald sie nicht mehr für die Prüfung der Schwachstelle benötigt werden – spätestens 1 Monat nachdem die Schwachstelle geschlossen wurde.

 

  • Stellen Sie uns ausreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie eine Kontaktmöglichkeit für Rückfragen bereit. Berichte von automatisierten Tools ohne erklärende Dokumentation fallen nicht in den Geltungsbereich dieser Policy.

Unser Versprechen

  • Wir versuchen die Schwachstelle so schnell wie möglich zu schließen und Sie dabei über den Fortschritt des Prozesses zu informieren.

 

  • Wir werden Sie informieren, wenn die gemeldete Schwachstelle geschlossen wurde, und bitten Sie ggf. zu bestätigen, dass die Lösung adäquat ist. Sobald die Schwachstelle gelöst wurde, begrüßen wir Anfragen dazu, Ihren Bericht offenzulegen. Wir möchten gerne betroffene Benutzer bestmöglich unterstützen und bitten Sie darum, die Veröffentlichung mit uns zu koordinieren.

 

  • Sofern Sie dies wünschen, nennen wir Ihren Namen (oder Alias) sowie die Beschreibung der Schwachstelle in den Danksagungen auf unserer Homepage um unseren Respekt für Ihre Fähigkeiten zum Ausdruck zu bringen.

 

  • Handeln Sie gemäß den Vorgaben der Vulnerability Disclosure Policy der PMG Projektraum Management GmbH und ohne erkennbare kriminelle Absichten, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert.

(Nicht-)Qualifizierte Schwachstellen

Es kann jedes Design- oder Implementierungsproblem gemeldet werden, welches reproduzierbar ist und die Sicherheit beeinträchtigt. Häufige Beispiele sind Remote Code Execution, Unbefugter Zugriff auf Eigenschaften oder Konten, Improper Error Handling, aktiv ausnutzbare Backdoors, Information Leakage, Fehlkonfiguration uvm..

Die folgenden Schwachstellen fallen nicht in den Geltungsbereich dieser Vulnerability Discosure Policy:

  • Nicht ausnutzbare Schwachstellen
    • Nicht-Einhalten von Best Practices.
    • Fehlende Security-Header, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
    • Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit)
  • Schwachstellen, die einen direkten physischen Zugriff auf Gerät oder Netzwerk durch einen Benutzer erfordern.
  • Verwendung von anfälligen und „schwachen“ Cipher-Suites.
  • (Distributed) Denial of Service, Spams, Massenregistrierung.
  • Social Engineering jeder Form.

Danksagung

Name/AliasURLSchwachstelle
Kunal Mhaskehttps://www.linkedin.com/in/kunal-mhaske-59928a170Fehlender DMARC Eintrag
Kunal Mhaskehttps://www.linkedin.com/in/kunal-mhaske-59928a170Clickjacking
Gaurang Mahetahttps://www.linkedin.com/in/gaurang883Offenlegung des WP-Debug-Logs
Parth Narulahttps://www.linkedin.com/in/parth-narula-86283821aClickjacking im Login Formular
Parth Narulahttps://www.linkedin.com/in/parth-narula-86283821aUnzureichende Kontrolle der Eingaben
Shivam Dhingrahttps://www.linkedin.com/in/shivam-dhingra/Fehlender DNSSEC Eintrag
Suprit S Pandurangihttps://www.linkedin.com/in/suprit-pandurangi/Enabled XMLRPC leading to SSRF
Vinayak Sakharehttps://www.linkedin.com/in/vinayak-sakhare-63b343119/Sensitive information disclosure via debug.log file
Vijay Sutarhttps://www.linkedin.com/in/vijay-sutar-444b9a81/Information Disclosure
Fouziahttps://www.linkedin.com/in/fouzia-a-372b6622b/Information Disclosure
Nitin Yadavhttps://www.linkedin.com/in/nitin-yadav-11b523223/(XXE) injection vulnerability