<html>Hi there,<br />
I have found and reported another vulnerability a critical one, kindly take a look.<br />
Waiting for your response<br />
Always Best Regards<br />
White HaT​​​​​​​
<div class="noTransl">----- Reply to message -----<br />
<b>Subject: </b>Re: Any Update on Reported Vulnerability<br />
<b>Date: </b>Sat, 27 Mar 2021, 21:51<br />
<b>From: </b> Ben Cooksley <a href="mailto:bcooksley@kde.org"><bcooksley@kde.org></a><br />
<b>To: </b> <a href="mailto:arslan.whitehat@inbox.eu"><arslan.whitehat@inbox.eu></a></div>

<blockquote>
<div>
<div>On Sun, Mar 28, 2021 at 6:53 AM M.Arslan Kabeer <<a href="arslan.whitehat@inbox.eu" rel="noopener noreferrer" target="_blank">arslan.whitehat@inbox.eu</a>> wrote:</div>

<div class="gmail_quote_84df94008a1a8823e076e8222eb4e032 ">
<blockquote class="gmail_quote_84df94008a1a8823e076e8222eb4e032 " style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204,204,204); padding-left: 1ex; ">Oh yeah sorry :), can report further vulnerabilities ?</blockquote>

<div> </div>

<div>Hi there,</div>

<div> </div>

<div>Yes, further issues you have identified can be reported.</div>

<div> </div>

<div>Please note however that most automated tools usually identify items that are generally not an issue, including:</div>

<div>- The existence of publicly accessible Jenkins instances</div>

<div>- The accessibility of underlying Git repositories (as all the software we run is open source and hosted publicly somewhere)</div>

<div>- The accessibility of build system artifacts such as composer.json and Gemfile.lock (which are contained in the above mentioned repositories)</div>

<div>- The accessibility of environment files (.env) which are also public in the case of <a href="https://apps.kde.org/.env" rel="noopener noreferrer" target="_blank">https://apps.kde.org/.env</a> (also contained in one of those same repositories)</div>

<div> </div>

<div>Regards,</div>

<div>Ben Cooksley</div>

<div>KDE Sysadmin</div>

<div> </div>

<blockquote class="gmail_quote_84df94008a1a8823e076e8222eb4e032 " style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204,204,204); padding-left: 1ex; ">
<div>----- Reply to message -----<br />
<b>Subject: </b>Re: Any Update on Reported Vulnerability<br />
<b>Date: </b>Fri, 26 Mar 2021, 21:05<br />
<b>From: </b> Carl Schwan <a href="carl@carlschwan.eu" rel="noopener noreferrer" target="_blank"><carl@carlschwan.eu></a><br />
<b>To: </b> kde-www <a href="kde-www@kde.org" rel="noopener noreferrer" target="_blank"><kde-www@kde.org></a></div>

<blockquote>Le vendredi, mars 26, 2021 7:58 PM, Nicolás Alvarez <<a href="nicolas.alvarez@gmail.com" rel="noopener noreferrer" target="_blank">nicolas.alvarez@gmail.com</a>> a écrit :<br />
<br />
> El vie, 26 de mar. de 2021 a la(s) 06:00, <a href="arslan.whitehat@inbox.eu" rel="noopener noreferrer" target="_blank">arslan.whitehat@inbox.eu</a> escribió:<br />
><br />
> > Hi there,<br />
> > Team any update on the vulnerability report,I have reported a DMARC vulnerability on 2021-03-18, and its been a while kindly update me about the vulnerability progress.<br />
> > I am also attaching the POC images again.<br />
> > I am hoping to receive a reward for the responsible disclosure of the vulnerability<br />
><br />
> We already replied about DMARC (this isn't a vulnerability and we<br />
> don't have a bounty program), and you already acknowledged the reply<br />
> in 2021-03-19.<br />
<br />
It's probably difficult to keep track of who replied with what, when probably<br />
sending these messages to anyone with missing DMARC config in a semi-automated<br />
way. :)<br />
<br />
Carl<br />
><br />
> --------------------------------------------------------------------------------------------------------------------------------------------------------<br />
><br />
> Nicolás<br />
<br />
 </blockquote>
</blockquote>
</div>
</div>
</blockquote>
</html>