企业确认漏洞修复，并关闭漏洞。漏洞生命周期结束后，相关信息与修复方式将公布至“MIoTSRC漏洞披露公告”(l链接)MIoTSRC漏洞处理流程如下：

1.【漏洞提交】

白帽子登陆漏洞盒子账号，提交漏洞报告。登录漏洞框帐户并提交漏洞报告。(或直接发送安全问题至iotsecurity@midea.com)。漏洞一旦提交将无法编辑修改，只能评论补充，请务必确保漏洞信息无误后再提交。成功提交后，漏洞状态显示为【待审阅】。

2.【漏洞审阅】

企业审核专员会在1工作日内尽快预审核漏洞（法定节假日或漏洞爆发情况审核速度将有所减缓，但会在5个工作日内完成）。预审不通过的漏洞将会给出原因后直接关闭或被要求补充完整信息，白帽子可在漏洞下方补充信息或评论交流。同一时间段内重复漏洞以第一份最完整报告为准，不同时间段重复漏洞以第一个提交为准。MIoTSRC重复漏洞无奖励。通过本阶段的漏洞状态显示为【待确认】。

3.【漏洞确认】

企业审核专员将在3个工作日内（法定节假日顺延）尽快确认漏洞，白帽子将在漏洞确认后即可获得对应奖金、积分奖励。如对确认等级存在异议，可在3天有效期内发起漏洞申诉，漏洞盒子平台将介入协商处理。本阶段漏洞状态显示为【待修复】。

4.【漏洞关闭】

 企业确认漏洞修复，并关闭漏洞。漏洞生命周期结束后，相关信息与修复方式将公布至“MIoTSRC漏洞披露公告”：

https://mideasrc.vulbox.com/news/detail-1582

声明：

1.提交MIoTSRC漏洞白帽子需接受《VULBOX白帽子注册协议》并遵守《漏洞盒子白帽子行为准则》。非经美的IoT许可，严禁任何形式公开已提交MIoTSRC的漏洞（包括被直接关闭的漏洞），违者将扣除已发放奖励，并视情况严重保留追究法律责任的权利。

2.在漏洞处理过程中，如果漏洞报告者有新增漏洞、对处理流程、漏洞定级、漏洞评分等有异议的，请通过发送iotsecurity邮箱（iotsecurity@midea.com）与我们联系。美的IoT安全应急响应中心（MIoTSRC）将根据漏洞报告者利益优先的原则进行处理，必要时可引入外部人士共同裁定。

3. 本漏洞处理流程适用于美的IoT提供的所有硬件、软件产品或服务，包括云平台、手机上的App或者小程序和家电设备的硬件、软件及固件。

MIoTSRC漏洞等级评级标准

严重安全问题

1、直接获取核心系统权限。可直接危害内网的漏洞包括但不限于：命令执行、远程溢出等漏洞；

2、能够获取大量用户核心数据的漏洞；

3、直接导致严重影响的逻辑漏洞。涉及相关漏洞包括但不限于：严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞。

高危安全问题

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传 webshell、任意代码执行；

2、直接导致严重的信息泄漏漏洞。包括但不限于核心 DB 的 SQL 注入漏洞；

3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞；

4、能直接批量盗取用户身份信息的漏洞。包括但不限于 SQL 注入；

5、越权访问。包括但不限于绕过认证访问后台。

中危安全问题

1、需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS 漏洞；

2、任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作；

3、越权访问。包括但不限于绕过限制修改用户资料、执行用户操作；

4、比较严重的信息泄漏漏洞。包含敏感信息文件泄露（如 DB 连接密码）。

低危安全问题

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞，如:非重要信息泄露、URL 跳转、较难利用的 XSS 安全漏洞、普通的 CSRF 漏洞等。

备注：

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。