企业确认漏洞修复,并关闭漏洞。漏洞生命周期结束后,相关信息与修复方式将公布至“MIoTSRC漏洞披露公告”(l链接)MIoTSRC漏洞处理流程如下:
1.【漏洞提交】
白帽子登陆漏洞盒子账号,提交漏洞报告。登录漏洞框帐户并提交漏洞报告。(或直接发送安全问题至iotsecurity@midea.com)。漏洞一旦提交将无法编辑修改,只能评论补充,请务必确保漏洞信息无误后再提交。成功提交后,漏洞状态显示为【待审阅】。
2.【漏洞审阅】
企业审核专员会在1工作日内尽快预审核漏洞(法定节假日或漏洞爆发情况审核速度将有所减缓,但会在5个工作日内完成)。预审不通过的漏洞将会给出原因后直接关闭或被要求补充完整信息,白帽子可在漏洞下方补充信息或评论交流。同一时间段内重复漏洞以第一份最完整报告为准,不同时间段重复漏洞以第一个提交为准。MIoTSRC重复漏洞无奖励。通过本阶段的漏洞状态显示为【待确认】。
3.【漏洞确认】
企业审核专员将在3个工作日内(法定节假日顺延)尽快确认漏洞,白帽子将在漏洞确认后即可获得对应奖金、积分奖励。如对确认等级存在异议,可在3天有效期内发起漏洞申诉,漏洞盒子平台将介入协商处理。本阶段漏洞状态显示为【待修复】。
4.【漏洞关闭】
企业确认漏洞修复,并关闭漏洞。漏洞生命周期结束后,相关信息与修复方式将公布至“MIoTSRC漏洞披露公告”:
https://mideasrc.vulbox.com/news/detail-1582
声明:
1.提交MIoTSRC漏洞白帽子需接受《VULBOX白帽子注册协议》并遵守《漏洞盒子白帽子行为准则》。非经美的IoT许可,严禁任何形式公开已提交MIoTSRC的漏洞(包括被直接关闭的漏洞),违者将扣除已发放奖励,并视情况严重保留追究法律责任的权利。
2.在漏洞处理过程中,如果漏洞报告者有新增漏洞、对处理流程、漏洞定级、漏洞评分等有异议的,请通过发送iotsecurity邮箱(iotsecurity@midea.com)与我们联系。美的IoT安全应急响应中心(MIoTSRC)将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
3. 本漏洞处理流程适用于美的IoT提供的所有硬件、软件产品或服务,包括云平台、手机上的App或者小程序和家电设备的硬件、软件及固件。
MIoTSRC漏洞等级评级标准
严重安全问题
1、直接获取核心系统权限。可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞;
2、能够获取大量用户核心数据的漏洞;
3、直接导致严重影响的逻辑漏洞。涉及相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞。
高危安全问题
1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传 webshell、任意代码执行;
2、直接导致严重的信息泄漏漏洞。包括但不限于核心 DB 的 SQL 注入漏洞;
3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞;
4、能直接批量盗取用户身份信息的漏洞。包括但不限于 SQL 注入;
5、越权访问。包括但不限于绕过认证访问后台。
中危安全问题
1、需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS 漏洞;
2、任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;
3、越权访问。包括但不限于绕过限制修改用户资料、执行用户操作;
4、比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如 DB 连接密码)。
低危安全问题
能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,如:非重要信息泄露、URL 跳转、较难利用的 XSS 安全漏洞、普通的 CSRF 漏洞等。
备注:
以上三个级别问题不包括
1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。