Informar de una vulnerabilidad


No podemos responder a los informes en masa generados por analizadores automáticos. Si identificas incidencias con un analizador automatizado, recomendamos que un profesional de seguridad revise las incidencias y garantice que los hallazgos son válidos antes de enviar un informe de vulnerabilidad a Atlassian.

Si crees que se ha encontrado una incidencia de seguridad que cumple con la definición de una vulnerabilidad de Atlassian, envía el informe a nuestro equipo de seguridad a través de uno de los siguientes métodos:

Si eres cliente:

Si eres investigador de seguridad:

Solo las vulnerabilidades enviadas a través de nuestro programa de recompensas por errores son aptas para recibir un pago de recompensa.

Incluye la siguiente información en tu informe:

  • Tipo de incidencia (cross-site scripting, SQL Injection, ejecución de código remota, etc.)
  • Producto y versión con el error o una URL si se trata de un servicio de Cloud
  • Impacto potencial de la vulnerabilidad (p. ej. a qué datos puede accederse o cuáles pueden modificarse)
  • Instrucciones paso a paso para reproducir la incidencia
  • Cualquier prueba de concepto o código de vulnerabilidad para reproducir

Si quieres cifrar tu envío con nuestra clave PGP, descárgala aquí.

Definición de vulnerabilidad

Atlassian considera que una vulnerabilidad de la seguridad es un punto débil en uno de nuestros productos o nuestra infraestructura que podría permitir que un atacante afectase la confidencialidad, la integridad o la disponibilidad del producto o de la infraestructura.

Los siguientes tipos de hallazgos no se consideran vulnerabilidades de seguridad:

  • Presencia o ausencia de encabezados de HTTP (X-Frame-Options, CSP, nosniff, etc.). Estos elementos se consideran prácticas recomendadas y por lo tanto, no los clasificamos como vulnerabilidades.
  • Atributos relacionados con la seguridad que faltan en cookies no confidenciales.Los productos de Atlassian pueden establecer determinados atributos relacionados con la seguridad en cookies usadas en nuestras aplicaciones. La ausencia de estos encabezados en cookies no confidenciales no se considera una vulnerabilidad de seguridad.
  • Seguimientos de pila expuestos. No consideramos que los seguimientos de pila por sí mismos sean una incidencia de seguridad. Si consideras que los seguimientos de pila desvelan información de identificación personal o contenido generado por el usuario, envía un informe detallando la incidencia.
  • Falsificación de contenido por usuarios administrativos. Permitimos que los administradores apliquen una inyección de HTML en áreas específicas de nuestros productos como una función de personalización y no consideramos que esa funcionalidad sea una vulnerabilidad.
  • Hacer clickjacking en páginas de Jira Server o en páginas que solo tienen contenido estático. Para obtener más detalles, consulta: https://jira.atlassian.com/browse/JRASERVER-25143.
  • Autocompletar activado o desactivado

Programa de recompensas por errores

Atlassian cuenta con un programa público de recompensas por errores para los productos gestionados por nuestro partner: Bugcrowd. Las investigaciones de seguridad pueden obtener pagos en metálico a cambio de informes sobre vulnerabilidades que cumplan los requisitos y se envíen a Atlassian a través de los programas de recompensas por errores.

Revelación pública

Para Atlassian es prioritario resolver cualquier vulnerabilidad de seguridad en nuestros productos dentro de los plazos expresados en nuestra Política de corrección de errores de seguridad. Atlassian realiza una revelación coordinada de las vulnerabilidades y, para proteger a sus clientes, solicita lo mismo a cualquiera que nos informe de una vulnerabilidad.