Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS

Cómo informar de una vulnerabilidad en ownCloud de forma segura

Cómo reportar una vulnerabilidad en ownCloud de forma segura. Descubre cómo informar sobre una vulnerabilidad de seguridad a ownCloud a través de canales oficiales como VDP o Bug Bounty. Sigue las indicaciones y envía reportes detallados.

Inicio Glosario Cómo reportar una vulnerabilidad en ownCloud de forma segura

Política de Divulgación de Seguridad

ownCloud — una empresa de Kiteworks

La seguridad de ownCloud y de sus usuarios es una responsabilidad central.
Contamos con una Política Formal de Divulgación de Vulnerabilidades y un Programa de Recompensas por Errores para garantizar que los problemas de seguridad se identifiquen, reporten y resuelvan de manera efectiva.

Cómo reportar una vulnerabilidad

Cómo reportar una vulnerabilidad

Reporta vulnerabilidades de seguridad a través de nuestros canales oficiales:

No reportes vulnerabilidades de seguridad en issues públicos de GitHub, foros o redes sociales. La divulgación pública de vulnerabilidades sin corregir pone en riesgo a los usuarios y descalifica los reportes del programa de recompensas.

Qué incluir en tu reporte

Un reporte útil de vulnerabilidad debe incluir al menos:

  • Una descripción clara de la vulnerabilidad y su posible impacto.
  • El producto y la versión afectados (oCIS, Desktop Client, Android, iOS u ownCloud Server 10.x).
  • Paso a paso para reproducir el problema, idealmente con una prueba de concepto.
  • Tu evaluación de la gravedad (CVSS score si es posible).

Cuantos más detalles proporciones, más rápido podremos analizar y resolver el problema.

Qué incluir en tu reporte
Nuestro compromiso contigo

Nuestro compromiso contigo

Cuando reportas una vulnerabilidad a través de nuestros canales oficiales, nos comprometemos a lo siguiente:

  • Análisis. Un miembro del equipo de seguridad de ownCloud evaluará la vulnerabilidad, determinará su impacto y clasificará su gravedad.
  • Resolución. Desarrollaremos y probaremos una solución, la aplicaremos en las ramas correspondientes y la incluiremos en la próxima versión de seguridad. Para problemas críticos, podríamos lanzar una versión especial fuera de ciclo.

Reglas de participación

Pedimos a los investigadores de seguridad que sigan estas pautas:

  • Realiza pruebas de vulnerabilidades solo en tu propia instalación de ownCloud.
  • No accedas, modifiques ni elimines datos de otros usuarios.
  • No realices ataques de denegación de servicio contra la infraestructura de ownCloud.
  • No publiques detalles de la vulnerabilidad hasta que ownCloud haya publicado una solución y un aviso público.
  • Permite un tiempo razonable para que el equipo de seguridad responda y solucione el problema.
  • Si tienes dudas sobre si algo está dentro del alcance, consúltanos primero en security@owncloud.com.
Reglas de participación
Programa de recompensas por errores

Programa de recompensas por errores

Nuestro programa de recompensas en YesWeHack premia a los investigadores de seguridad por vulnerabilidades calificadas según su gravedad. La gravedad la determina el equipo de seguridad de ownCloud. Los pagos se realizan a través de la plataforma YesWeHack. Las vulnerabilidades que requieren privilegios de administrador (CVSS PR:H) normalmente se limitan a gravedad Alta, salvo que se combinen con una escalada de privilegios.

Fuera de alcance

Generalmente, los siguientes casos están fuera del alcance de nuestro programa de recompensas:

  • Ataques a nivel de red (DDoS, MitM sin impacto en la capa de aplicación).
  • Ingeniería social o ataques de phishing al personal de ownCloud.
  • Problemas en aplicaciones de terceros no mantenidas por ownCloud (repórtalos al responsable correspondiente).
  • Falta de cabeceras de seguridad sin impacto demostrable.
  • Configuraciones incorrectas de SPF/DKIM/DMARC.
  • Políticas de expiración de sesión.
  • Reportes de escáneres automáticos sin prueba de concepto validada.
Fuera de alcance
Vulnerabilidades en la cadena de suministro y dependencias

Vulnerabilidades en la cadena de suministro y dependencias

Si detectas una vulnerabilidad en una dependencia utilizada por ownCloud, ya sea una librería, imagen de contenedor o herramienta de compilación, repórtala por nuestros canales habituales. Coordinaremos la divulgación con el responsable del software afectado cuando corresponda.

ownCloud monitoriza su cadena de suministro mediante escaneo automatizado y mantiene un proceso SBOM (Software Bill of Materials).

Contacto

  • VDP / Recompensas: security.owncloud.com / YesWeHack
  • Email del equipo de seguridad: security@owncloud.com
  • Contacto OSPO: ospo@kiteworks.com
Contacto

Preguntas frecuentes

Puedes reportar vulnerabilidades de seguridad a través de los canales oficiales de ownCloud: la plataforma VDP en security.owncloud.com, el Programa de Bug Bounty en YesWeHack, o por correo electrónico a security@owncloud.com para temas fuera del alcance del bug bounty. Evita divulgar la información públicamente en plataformas como GitHub, foros o redes sociales para proteger a los usuarios y mantener la elegibilidad para el programa de recompensas.

Un reporte de vulnerabilidad útil debe incluir una descripción clara de la vulnerabilidad y su posible impacto, el producto y la versión afectados (por ejemplo, oCIS, Desktop Client, Android, iOS u ownCloud Server 10.x), pasos para reproducir el problema con una prueba de concepto si es posible, y tu evaluación de la gravedad, como un puntaje CVSS. Proporcionar información detallada ayuda a agilizar la revisión y la resolución.

ownCloud se compromete a evaluar la vulnerabilidad reportada mediante la revisión de un miembro del equipo de seguridad, quien determinará su impacto y clasificará la gravedad. Luego, desarrollarán y probarán una solución, la aplicarán a las ramas relevantes y la incluirán en la próxima versión de seguridad, o emitirán una actualización fuera de ciclo para problemas críticos.

Los investigadores de seguridad deben seguir estas pautas: probar vulnerabilidades solo en tu propia instalación de ownCloud, evitar acceder o modificar datos de otros usuarios, no realizar ataques de denegación de servicio contra la infraestructura de ownCloud, no publicar detalles de la vulnerabilidad hasta que se emita una solución y un aviso, permitir un tiempo razonable para la respuesta y corrección, y contactar a security@owncloud.com si tienes dudas sobre el alcance.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks