Hệ điều hành
Phần thưởng lên tới
30.000 USD
Bao gồm Synology DiskStation Manager, Synology Router Manager, và Synology BeeStation.
Phần mềm và dịch vụ C2 Cloud
Phần thưởng lên tới
10.000 USD
Bao gồm các gói phần mềm do Synology phát triển, các ứng dụng di động có liên quan và các dịch vụ C2 Cloud.
Dịch vụ web
Phần thưởng lên tới
5.000 USD
Bao gồm tất cả các dịch vụ web chính của Synology.
- Bạn là nhà nghiên cứu đầu tiên báo cáo lỗ hổng này
- Lỗ hổng báo cáo được xác nhận là có thể xác minh, có thể tái hiện và là sự cố bảo mật hợp lệ
- Báo cáo của bạn tuân thủ các điều khoản và quy định của Chương trình săn tìm lỗi bảo mật
Liên hệ với chúng tôi bằng cách sử dụng biểu mẫu liên hệ của Chương trình săn tìm có thưởng.
Sử dụng khóa PGP này để mã hóa thông tin của bạn khi gửi báo cáo lỗi đến Synology.
Gửi kèm theo bằng chứng về khái niệm (PoC) chi tiết và đảm bảo rằng sự cố được báo cáo có thể tái hiện.
Mô tả ngắn gọn. Ví dụ: liên kết bằng chứng về khái niệm ngắn được đánh giá cao hơn video giải thích hậu quả của sự cố SSRF.
- Chứa mô tả từng bước rõ ràng bằng tiếng Anh về cách mô phỏng lại lỗ hổng
- Trình bày ảnh hưởng của lỗ hổng đến các sản phẩm hoặc dịch vụ web của Synology và mô tả các phiên bản và nền tảng bị ảnh hưởng
- Nêu những thiệt hại tiềm ẩn do lỗ hổng được báo cáo gây ra
Phần thưởng | Các báo cáo đủ điều kiện sẽ nhận được phần thưởng lên tới 30.000 USD.* |
---|---|
Sản phẩm trong phạm vi | Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận. DiskStation Manager (DSM)
Synology Router Manager (SRM)
Firmware của Synology Camera
Synology BeeStation
|
Quy định và hạn chế | Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:
|
**Phần thưởng tối đa cho các lỗ hổng trong SRM_LAN là $5,000.
***Phần thưởng tối đa cho các lỗ hổng trong firmware camera là $10,000.
Phần thưởng | Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 10.000 USD.* |
---|---|
Sản phẩm trong phạm vi | Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận. Gói dịch vụ Gói phần mềm do Synology phát triển Ứng dụng trên máy tính Các ứng dụng Windows, macOS và Linux do Synology phát triển Ứng dụng di động Ứng dụng di động do Synology phát triển dành cho Android và iOS Synology Account
Các dịch vụ C2 Tên miền *.c2.synology.com |
Quy định và hạn chế | Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:
|
Phần thưởng | Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 5.000 USD.* |
---|---|
Sản phẩm trong phạm vi | Các tên miền sau (bao gồm cả tên miền phụ) nằm trong phạm vi: *.synology.com Các tên miền sau (bao gồm cả tên miền phụ) nằm ngoài phạm vi: openstack-ci-logs.synology.com, router.synology.com Synology có quyền sửa đổi danh sách này bất cứ lúc nào mà không cần thông báo trước. |
Quy định và hạn chế | Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:
|
Hệ điều hành | Phần mềm và dịch vụ C2 Cloud | Dịch vụ web | |
---|---|---|---|
Zero-click pre-auth RCE | 30.000 USD | 10.000 USD | 5.000 USD |
Zero-click pre-auth arbitrary file r/w | 9.000 USD | 4.600 USD | 2.400 USD |
Hệ điều hành | Phần mềm và dịch vụ C2 Cloud | Dịch vụ web | |
---|---|---|---|
1-click pre-auth RCE | 8.000 USD | 4.000 USD | 2.000 USD |
Zero-click normal-user-auth RCE | 7.500 USD | 3.900 USD | 1.900 USD |
Zero-click normal-user-auth arbitrary file r/w | 6.500 USD | 3.400 USD | 1.700 USD |
Zero-click pre-auth RCE (AC:H) | 6.500 USD | 3.400 USD | 1.700 USD |
1-click pre-auth RCE (AC:H) | 5.000 USD | 2.500 USD | 1.325 USD |
pre-auth SQL injection | 3.800 USD | 1.950 USD | 1.025 USD |
1-click normal-user-auth RCE (AC:H) | 2.600 USD | 1.350 USD | 725 USD |
pre-auth stored XSS | 2.600 USD | 1.350 USD | 725 USD |
Hệ điều hành | Phần mềm và dịch vụ C2 Cloud | Dịch vụ web | |
---|---|---|---|
normal-user-auth stored XSS | 1.350 USD | 733 USD | 417 USD |
normal-user-auth SQL injection | 1.200 USD | 607 USD | 353 USD |
admin-auth vulnerabilities | 100 USD | 100 USD | 100 USD |
- Bắt đầu từ ngày 1 tháng 10 năm 2024, phần thưởng cho lỗ hổng admin-auth sẽ được đặt ở mức 100 USD.
- Đối với Desktop Clients, nếu vector CVSS bao gồm bất kỳ điều nào sau đây, phần thưởng sẽ được đặt ở mức 100 USD:
- AV:L
- AV:A
- AV:N/AC:H
Lưu ý:
- Vui lòng lưu ý rằng mặc dù chúng tôi có hướng dẫn về phần thưởng nhưng mỗi báo cáo đều được xử lý riêng và đánh giá kỹ lưỡng. Quá trình chấm điểm xem xét nhiều yếu tố khác nhau, bao gồm nhưng không giới hạn ở phạm vi nêu chi tiết trong phiếu đánh giá phần thưởng. Synology có quyền giải thích cuối cùng về số tiền thưởng.
- Đối với các vấn đề được xếp loại mức độ nghiêm trọng thấp hoặc đề xuất, chúng tôi sẽ chỉ xác nhận đã nhận được.
- Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
- Tim Coen (https://security-consulting.icu/)
- Mykola Grymalyuk from RIPEDA Consulting
- Zhao Runzi (赵润梓)
- Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
- Offensive Security Research @ Ronin (https://ronin.ae/)
- Nathan (Yama) https://DontClickThis.run
- M Tayyab Iqbal (www.alphainferno.com)
- Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
- Wonbeen Im, STEALIEN (https://stealien.com)
- 赵润梓、李建申(https://lsr00ter.github.io)
- Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
- Steven Lin (https://x.com/5teven1in)
- Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
- Mohd Ali (revengerali)
- Orange Tsai (@orange_8361) from DEVCORE Research Team
- Bocheng Xiang with FDU(@crispr)
- HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
- Hydrobikz (https://www.linkedin.com/in/bikash-)
- Can Acar (https://imcan.dev)
- Yves Bieri of Compass Security (https://www.compass-security.com)
- DEVCORE Research Team (https://devco.re/)
- aoxsin (https://twitter.com/aoxsin)