Close

Informar de una vulnerabilidad


Si crees que has encontrado una incidencia de seguridad que cumple la definición de vulnerabilidad de Atlassian, te rogamos que lo comuniques a nuestro equipo de seguridad mediante uno de los métodos siguientes:

Si eres un cliente:

Si eres investigador de seguridad:

Solo las vulnerabilidades remitidas a través del programa de recompensas por errores podrán optar al pago de una recompensa.

Incluye los siguientes datos en el informe:

  • Tipo de incidencia (script entre sitios, inyección SQL, ejecución de código remoto, etc.)
  • Producto y versión que contiene el error, o una dirección URL en el caso de un servicio de nube
  • Impacto potencial de la vulnerabilidad (p. ej., ¿qué datos quedan expuestos al acceso o modificación?)
  • Instrucciones paso a paso para reproducir la incidencia
  • Cualquier prueba de concepto o código de aprovechamiento de vulnerabilidades necesario para reproducir la incidencia

Si deseas cifrar el envío con nuestra clave PGP, puedes descargarla aquí.

 

Definición de vulnerabilidad

Atlassian considera que una "vulnerabilidad de seguridad" es un defecto en uno de nuestros productos o infraestructuras que podría permitir a un atacante afectar a la confidencialidad, la integridad o la disponibilidad del producto o infraestructura.

No consideramos vulnerabilidades de seguridad los siguientes tipos de hallazgos:

  • Presencia o ausencia de encabezados HTTP (X-Frame-Options, CSP, nosniff, etc.). Los consideramos prácticas recomendadas de seguridad y, por tanto, no los clasificamos como vulnerabilidades.
  • Ausencia de atributos relativos a la seguridad en cookies no confidenciales. Los productos de Atlassian pueden incluir determinados atributos relativos a la seguridad en las cookies que emplean. La ausencia de estos encabezados en cookies no confidenciales no se considera una vulnerabilidad de seguridad.
  • Seguimientos de pila expuestos.  No consideramos que los seguimientos de pila sean en sí mismos una incidencia de seguridad. Si descubres un seguimiento de pila que incluye información de identificación personal o contenido generado por el usuario, te rogamos que nos envíes un informe que detalle la incidencia.
  • Inyección de contenido por parte de usuarios administrativos.  Permitimos a los administradores inyectar HTML en áreas específicas de nuestros productos como función de personalización, y no consideramos que esta funcionalidad sea una vulnerabilidad.
  • Clickjacking en las páginas de Jira Server o en páginas que solo incluyen contenido estático. Para obtener más información, consulta: https://jira.atlassian.com/browse/JRASERVER-25143.
  • Autocompletar activado o desactivado

Tampoco podemos responder a los informes por lotes generados por escáneres automatizados. Si identificas incidencias mediante el uso de un escáner automatizado, recomendamos que las revise un experto en seguridad para garantizar que se trate de un hallazgo válido antes de enviar un informe de vulnerabilidad a Atlassian.

 

Programa de recompensas por errores

Atlassian cuenta con un programa público de recompensas por errores para nuestros productos, gestionado por nuestro partner, Bugcrowd. Los investigadores de seguridad pueden obtener pagos en metálico a cambio de informes sobre vulnerabilidades que cumplan los requisitos y se envíen a través de los programas de recompensas por errores.

 

Revelación pública

Para Atlassian es prioritario resolver cualquier vulnerabilidad de seguridad en nuestros productos dentro de los plazos expresados en la Política de corrección de errores de seguridad. Atlassian realiza una revelación coordinada de vulnerabilidades y, para proteger a sus clientes, solicita lo mismo a cualquiera que nos informe de una vulnerabilidad.