Операционные системы
Бонусы в размере до
$30 000
Включает Synology DiskStation Manager, Synology Router Manager и Synology BeeStation.
Программное обеспечение и облачные службы C2
Бонусы в размере до
$10 000
Включает пакеты программного обеспечения, разработанные компанией Synology, связанные мобильные приложения и облачные службы C2.
Веб-службы
Бонусы в размере до
$5000
Включает все основные веб-службы Synology.
- Вы — первый специалист, сообщивший об этой уязвимости
- Подтверждено, что уязвимость, о которой вы сообщили, поддается проверке, воспроизводится и является действительной проблемой безопасности
- Ваш отчет соответствует положениям и правилам программы поощрений
Свяжитесь с нами, используя контактную форму программы поощрений.
При отправке отчетов об ошибках в Synology используйте этот ключ PGP для шифрования информации.
Включите в отчет детальное подтверждение концепции и убедитесь, что обнаруженные ошибки можно воспроизвести.
Описание должно быть кратким и содержательным. Например, короткая ссылка для подтверждения концепции ценится выше, чем видео, объясняющее последствия проблемы SSRF.
- Содержать четкое пошаговое описание процедуры воспроизведения этой уязвимости на английском языке
- Демонстрировать, как уязвимость влияет на продукты или веб-службы Synology, а также содержать описание уязвимых версий и платформ
- Указывать ущерб, который может причинить обнаруженная уязвимость
Вознаграждение | За квалифицированные отчеты будут предоставлены бонусы в размере до $30 000*. |
---|---|
Продукты, участвующие в программе | Принимаются только отчеты об официально выпущенных версиях. DiskStation Manager (DSM)
Synology Router Manager (SRM)
Микропрограмма Synology Camera
Synology BeeStation
|
Нормативные требования и ограничения | Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство. В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:
|
** Максимальное вознаграждение за уязвимости в SRM_LAN составляет 5000 долларов США.
*** Максимальное вознаграждение за уязвимости в микропрограмме камеры составляет 10 000 долларов США.
Вознаграждение | За квалифицированные отчеты будут предоставлены бонусы в размере до $10 000*. |
---|---|
Продукты, участвующие в программе | Принимаются только отчеты об официально выпущенных версиях. Пакеты Пакеты программного обеспечения, разработанные компанией Synology Клиентские приложения для настольных ПК Приложения для Windows, macOS и Linux, разработанные компанией Synology Мобильные приложения Мобильные приложения для Android и iOS, разработанные компанией Synology Учетная запись Synology
Службы C2 Домены *.c2.synology.com |
Нормативные требования и ограничения | Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство. В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:
|
Вознаграждение | За квалифицированные отчеты будут предоставлены бонусы в размере до $5000*. |
---|---|
Продукты, участвующие в программе | В программе участвуют следующие домены (включая поддомены): *.synology.com В программе не участвуют следующие домены (включая поддомены): openstack-ci-logs.synology.com, router.synology.com Компания Synology оставляет за собой право вносить изменения в этот список в любое время без предварительного уведомления. |
Нормативные требования и ограничения | Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство. В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:
|
Операционные системы | Программное обеспечение и облачные службы C2 | Веб-службы | |
---|---|---|---|
Zero-click pre-auth RCE | $30 000 | $10 000 | $5000 |
Zero-click pre-auth arbitrary file r/w | $9000 | $4600 | $2400 |
Операционные системы | Программное обеспечение и облачные службы C2 | Веб-службы | |
---|---|---|---|
1-click pre-auth RCE | $8000 | $4000 | $2000 |
Zero-click normal-user-auth RCE | $7500 | $3900 | $1900 |
Zero-click normal-user-auth arbitrary file r/w | $6500 | $3400 | $1700 |
Zero-click pre-auth RCE (AC:H) | $6500 | $3400 | $1700 |
1-click pre-auth RCE (AC:H) | $5000 | $2500 | $1325 |
pre-auth SQL injection | $3800 | $1950 | $1025 |
1-click normal-user-auth RCE (AC:H) | $2600 | $1350 | $725 |
pre-auth stored XSS | $2600 | $1350 | $725 |
Операционные системы | Программное обеспечение и облачные службы C2 | Веб-службы | |
---|---|---|---|
normal-user-auth stored XSS | $1350 | $733 | $417 |
normal-user-auth SQL injection | $1200 | $607 | $353 |
admin-auth vulnerabilities | $100 | $100 | $100 |
- С 1 октября 2024 года вознаграждение за уязвимость авторизации администратора будет установлено в размере 100 долларов США.
- Для настольных клиентов: если вектор CVSS включает в себя что-либо из следующего, вознаграждение устанавливается в размере 100 долларов США:
- AV:L
- AV:A
- AV:N/AC:H
Примечания.
- Обратите внимание: хотя примерный план бонусов указан, все отчеты рассматриваются по отдельности и детально оцениваются. При оценке учитываются различные факторы, включая, помимо прочего, продукты, участвующие в программе, которые указаны в разделе бонусов. Компания Synology оставляет за собой право на окончательную интерпретацию сумм бонусов.
- Для проблем, классифицированных как проблемы с низкой степенью серьезности или предложения, будут предоставлены только подтверждения.
- David Oxley
- Abdelali Chekiel