Systèmes d'exploitation
Récompenses jusqu'à
30 000 dollars américains
Comprend Synology DiskStation Manager, Synology Router Manager et Synology BeeStation.
Logiciels et services cloud C2
Récompenses jusqu'à
10 000 dollars américains
Inclut les paquets logiciels développés par Synology, les applications mobiles associées et les services cloud C2.
Services Web
Récompenses jusqu'à
5 000 dollars américains
Inclut tous les principaux services Web Synology.
- Vous êtes le premier chercheur à signaler cette vulnérabilité.
- La vulnérabilité signalée est confirmée comme étant vérifiable, réplicable et un problème de sécurité valide.
- Votre rapport est conforme aux conditions et réglementations du programme de primes
Contactez-nous via le formulaire de contact du programme de primes de sécurité.
Utilisez cette clé PGP pour chiffrer vos informations lors de l'envoi de rapports de bugs à Synology.
Incluez une démonstration de faisabilité détaillée et assurez-vous que les problèmes signalés peuvent être reproduits.
Donnez une description succincte. Par exemple, une courte démonstration de faisabilité est plus appréciée qu'une vidéo expliquant les conséquences d'un problème SSRF.
- contenir une description détaillée et claire en anglais de la façon de reproduire la vulnérabilité ;
- montrer comment la vulnérabilité affecte les produits ou services Web Synology et décrire les versions et plateformes concernées ;
- indiquer les dommages potentiels causés par la vulnérabilité signalée.
| Récompense | Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 30 000 dollars américains.* |
|---|---|
| Produits concernés | Seuls les rapports sur les versions officiellement publiées sont acceptés. DiskStation Manager (DSM)
Synology Router Manager (SRM)
Firmware Synology Camera
Synology BeeStation
|
| Réglementations et restrictions | Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises. Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :
|
*Voir la page des détails des récompenses sur la page web du programme de bugs de sécurité pour plus de détails.
**La récompense maximale pour les vulnérabilités dans SRM_LAN est de 5 000 $.
***La récompense maximale pour les vulnérabilités dans le firmware de la caméra est de 10 000 $.
**La récompense maximale pour les vulnérabilités dans SRM_LAN est de 5 000 $.
***La récompense maximale pour les vulnérabilités dans le firmware de la caméra est de 10 000 $.
| Récompense | Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 10 000 dollars américains.* |
|---|---|
| Produits concernés | Seuls les rapports sur les versions officiellement publiées sont acceptés. Paquets Paquets logiciels développés par Synology Clients pour poste de travail Applications Windows, macOS et Linux développées par Synology Applications mobiles Applications mobiles développées par Synology pour Android et iOS Compte Synology
Services C2 *Domaines c2.synology.com |
| Réglementations et restrictions | Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises. Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :
|
*Voir la page des détails de la récompense sur la page web du programme de sécurité pour plus de détails.
| Récompense | Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 5 000 dollars américains.* |
|---|---|
| Produits concernés | Les domaines suivants (y compris les sous-domaines) sont concernés : *.synology.com Les domaines suivants (y compris les sous-domaines) ne sont pas concernés : openstack-ci-logs.synology.com, router.synology.com Synology se réserve le droit de modifier cette liste à tout moment et sans préavis. |
| Réglementations et restrictions | Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises. Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :
|
*Voir la page des détails de la récompense sur la page web du programme de sécurité pour plus de détails.
| Systèmes d'exploitation | Services logiciels et C2 cloud | Services web | |
|---|---|---|---|
| Zero-click pre-auth RCE | 30,000 $ | 10,000 $ | 5,000 $ |
| Zero-click pre-auth arbitrary file r/w | 9,000 $ | 4,600 $ | 2,400 $ |
| Systèmes d'exploitation | Logiciels et services C2 Cloud | Services web | |
|---|---|---|---|
| 1-click pre-auth RCE | 8,000 $ | 4,000 $ | 2,000 $ |
| Zero-click normal-user-auth RCE | 7,500 $ | 3,900 $ | 1,900 $ |
| Zero-click normal-user-auth arbitrary file r/w | 6,500 $ | 3,400 $ | 1,700 $ |
| Zero-click pre-auth RCE (AC:H) | 6,500 $ | 3,400 $ | 1,700 $ |
| 1-click pre-auth RCE (AC:H) | 5,000 $ | 2,500 $ | 1,325 $ |
| pre-auth SQL injection | 3,800 $ | 1,950 $ | 1,025 $ |
| 1-click normal-user-auth RCE (AC:H) | 2,600 $ | 1,350 $ | 725 $ |
| pre-auth stored XSS | 2,600 $ | 1,350 $ | 725 $ |
| Systèmes d'exploitation | Logiciels et services C2 Cloud | Services web | |
|---|---|---|---|
| normal-user-auth stored XSS | 1,350 $ | 733 $ | 417 $ |
| normal-user-auth SQL injection | 1,200 $ | 607 $ | 353 $ |
| admin-auth vulnerabilities | 100 $ | 100 $ | 100 $ |
- À partir du 1er octobre 2024, les récompenses pour les vulnérabilités admin-auth seront fixées à 100 $ USD.
- Pour les clients de bureau, si le vecteur CVSS inclut l'un des éléments suivants, la récompense est fixée à 100 $ USD :
- AV:L
- AV:A
- AV:N/AC:H
Remarques :
- Veuillez noter que bien que des directives pour les récompenses soient fournies, chaque rapport est traité individuellement et évalué minutieusement. L'évaluation prend en compte divers facteurs, y compris mais sans se limiter à la portée détaillée dans la grille des récompenses. Synology se réserve le droit d'interprétation finale des montants des récompenses.
- Pour les questions classées comme étant de faible gravité ou les suggestions, seuls des remerciements seront fournis.
2024
- Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
- Tim Coen (https://security-consulting.icu/)
- Mykola Grymalyuk from RIPEDA Consulting
- Zhao Runzi (赵润梓)
- Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
- Offensive Security Research @ Ronin (https://ronin.ae/)
- Nathan (Yama) https://DontClickThis.run
- M Tayyab Iqbal (www.alphainferno.com)
- Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
- Wonbeen Im, STEALIEN (https://stealien.com)
- 赵润梓、李建申(https://lsr00ter.github.io)
- Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
- Steven Lin (https://x.com/5teven1in)
- Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
- Mohd Ali (revengerali)
- Orange Tsai (@orange_8361) from DEVCORE Research Team
- Bocheng Xiang with FDU(@crispr)
- HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
- Hydrobikz (https://www.linkedin.com/in/bikash-)
- Can Acar (https://imcan.dev)
- Yves Bieri of Compass Security (https://www.compass-security.com)
- DEVCORE Research Team (https://devco.re/)
- aoxsin (https://twitter.com/aoxsin)