Enviar un reporte de vulnerabilidad
Gracias por dedicar tiempo a comunicar una posible vulnerabilidad. Antes de enviar el reporte, consulte la Política de Divulgación de Vulnerabilidades para conocer el alcance, las condiciones de safe harbour y la cronología de divulgación.
Para reportes sensibles — utilice PGP
Si el reporte contiene detalles de explotación, código de prueba de concepto u otro material sensible, cifre el mensaje con la clave PGP de SOMA9 antes de enviarlo. Descargue la clave pública en soma9.cloud/.well-known/pgp.txt y escriba directamente a
security@soma9.cloud.
Formulario web
Para reportes no sensibles, utilice el formulario siguiente. SOMA9 acusará recibo en un plazo de 72 horas.
No rellenar este campo
Nombre Opcional. Se aceptan reportes anónimos; no es posible reconocer públicamente a un investigador anónimo.
Correo electrónico Necesario para el seguimiento. Use, si es posible, una dirección con capacidad PGP.
Gravedad estimada Su evaluación inicial; SOMA9 efectuará un triaje formal CVSS al recibir el reporte.
Seleccionar... Crítica (RCE, omisión de autenticación, exfiltración de datos) Alta (escalada de privilegios, divulgación sensible) Media (defecto lógico, divulgación parcial, CSRF) Baja (divulgación de información de baja relevancia) Informativa (recomendación de buena práctica)
Servicio o componente afectado URL, hostname, endpoint de API o nombre de servicio.
Título del reporte Descripción breve y factual.
Descripción de la vulnerabilidad ¿En qué consiste? ¿Cuál es el impacto? Incluya el vector CVSS si dispone.
Pasos para reproducir Secuencia mínima necesaria para reproducir. Se prefieren pasos numerados.
Remediación sugerida (opcional)
Reconocimiento
Reconocimiento público en el Hall of Fame Mantener anónimo Utilizar un alias (especificar en la descripción)
Enviar reporte
Qué ocurre a continuación
- Acuse de recibo en un plazo de 72 horas desde la recepción.
- Triaje y clasificación de gravedad en un plazo de 7 días.
- Actualizaciones de estado cada 30 días durante la remediación.
- Aviso público en el día 90, con reconocimiento al investigador salvo que se haya solicitado anonimato.
Fuera de alcance
Los siguientes tipos de reporte quedan fuera de alcance y pueden cerrarse sin actuación adicional: software de terceros ejecutándose en cuentas de Cliente, reportes basados exclusivamente en salida de escáner automático sin impacto demostrado, cuestiones teóricas sin prueba de concepto, ingeniería social, ataques físicos y pruebas de denegación de servicio sin autorización previa. Véase la VDP §9.