Informe uma vulnerabilidade


A gente não tem como responder a relatórios em massa gerados por verificadores automáticos. Se você identificar problemas usando um verificador automático, o recomendado é que eles sejam analisados por um profissional de segurança, para garantir a validade do que foi encontrado antes de enviar um relatório de vulnerabilidade para a Atlassian.

Se você encontrou um problema de segurança que corresponde à definição de vulnerabilidade da Atlassian, envie o relatório para a equipe de segurança por um dos métodos abaixo:

Cliente:

Pesquisador de segurança:

Apenas as vulnerabilidades enviadas pelo programa de recompensa por bugs podem receber o pagamento de recompensa.

Inclua estas informações no relatório:

  • Tipo do problema (Cross-site Scripting, SQL Injection, remote code execution, etc.)
  • Produto e versão com o bug ou URL em casos de serviços em nuvem
  • O impacto potencial da vulnerabilidade (ou seja, que dados podem ser acessados ou modificados)
  • Instruções passo a passo para reproduzir o problema
  • Prova de conceito ou código de exploração necessários para a reprodução

Se você quiser criptografar o envio com a chave PGP, baixe aqui.

Definição de vulnerabilidade

A Atlassian considera vulnerabilidade de segurança a falha em um dos produtos ou infraestrutura que pode permitir que um invasor comprometa a confidencialidade, integridade ou disponibilidade do produto ou infraestrutura.

A gente não considera os seguintes tipos de itens como vulnerabilidades de segurança:

  • Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, etc.). Eles são considerados práticas recomendadas de segurança, e, por isso, a gente não considera como vulnerabilidades.
  • Ausência de atributos de segurança em cookies não sigilosos. Os produtos da Atlassian podem definir alguns atributos de segurança em cookies usados pelos aplicativos. A ausência desses cabeçalhos em cookies não sigilosos não é considerada uma vulnerabilidade de segurança.
  • Rastreamento de pilha exposta. A Atlassian não considera que o rastreamento de pilhas por si só seja um problema de segurança. Se você encontrar um rastreamento de pilhas que dê informações pessoais ou de conteúdo gerado pelo usuário, envie um relatório explicando o problema.
  • Injeção de conteúdo por usuários administrativos. A Atlassian permite a injeção de HTML pelos administradores em áreas ou produtos específicos como recurso de personalização e não considera que essa funcionalidade seja uma vulnerabilidade.
  • Clique em JRASERVER nas páginas do Jira Server ou páginas que contêm apenas conteúdo estático. Veja mais informações em: https://jira.atlassian.com/browse/JRASERVER-25143.
  • Preenchimento automático ativado ou desativado

Programa de recompensa por bugs

A Atlassian opera um programa público de recompensa por bugs nos produtos por meio da parceria com o Bugcrowd. Os pesquisadores de segurança podem receber pagamentos em dinheiro em troca de um relatório de vulnerabilidade qualificado enviado à Atlassian por meio dos programas de recompensa.

Divulgação pública

A Atlassian prioriza a resolução das vulnerabilidades de segurança nos produtos dentro dos prazos identificados na Política de correção de bugs de segurança. A Atlassian faz a divulgação coordenada de vulnerabilidades e solicita, para proteção dos clientes, que qualquer pessoa que relate uma vulnerabilidade faça o mesmo.