<div dir="ltr"><div dir="ltr">On Sun, Mar 28, 2021 at 6:53 AM M.Arslan Kabeer <<a href="mailto:arslan.whitehat@inbox.eu">arslan.whitehat@inbox.eu</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Oh yeah sorry :), can report further vulnerabilities ?</blockquote><div><br></div><div>Hi there,</div><div><br></div><div>Yes, further issues you have identified can be reported.</div><div><br></div><div>Please note however that most automated tools usually identify items that are generally not an issue, including:</div><div>- The existence of publicly accessible Jenkins instances</div><div>- The accessibility of underlying Git repositories (as all the software we run is open source and hosted publicly somewhere)</div><div>- The accessibility of build system artifacts such as composer.json and Gemfile.lock (which are contained in the above mentioned repositories)</div><div>- The accessibility of environment files (.env) which are also public in the case of <a href="https://apps.kde.org/.env">https://apps.kde.org/.env</a> (also contained in one of those same repositories)</div><div><br></div><div>Regards,</div><div>Ben Cooksley</div><div>KDE Sysadmin</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div>----- Reply to message -----<br>
<b>Subject: </b>Re: Any Update on Reported Vulnerability<br>
<b>Date: </b>Fri, 26 Mar 2021, 21:05<br>
<b>From: </b> Carl Schwan <a href="mailto:carl@carlschwan.eu" target="_blank"><carl@carlschwan.eu></a><br>
<b>To: </b> kde-www <a href="mailto:kde-www@kde.org" target="_blank"><kde-www@kde.org></a></div>

<blockquote>Le vendredi, mars 26, 2021 7:58 PM, Nicolás Alvarez <<a href="mailto:nicolas.alvarez@gmail.com" target="_blank">nicolas.alvarez@gmail.com</a>> a écrit :<br>
<br>
> El vie, 26 de mar. de 2021 a la(s) 06:00, <a href="mailto:arslan.whitehat@inbox.eu" target="_blank">arslan.whitehat@inbox.eu</a> escribió:<br>
><br>
> > Hi there,<br>
> > Team any update on the vulnerability report,I have reported a DMARC vulnerability on 2021-03-18, and its been a while kindly update me about the vulnerability progress.<br>
> > I am also attaching the POC images again.<br>
> > I am hoping to receive a reward for the responsible disclosure of the vulnerability<br>
><br>
> We already replied about DMARC (this isn't a vulnerability and we<br>
> don't have a bounty program), and you already acknowledged the reply<br>
> in 2021-03-19.<br>
<br>
It's probably difficult to keep track of who replied with what, when probably<br>
sending these messages to anyone with missing DMARC config in a semi-automated<br>
way. :)<br>
<br>
Carl<br>
><br>
> --------------------------------------------------------------------------------------------------------------------------------------------------------<br>
><br>
> Nicolás<br>
<br>
 </blockquote>


</blockquote></div></div>