科沃斯产品安全中心漏洞处理与评级标准2.0
2024年9月发布

一、基本原则
  1. 科沃斯家用机器人有限公司(以下简称“科沃斯”)高度重视自身产品与业务安全。我们欢迎外部安全专家通过提交漏洞报告,协助我们提升安全水平,以更好地保障用户个人隐私与数据安全。我们承诺,对每一份安全报告,都将由专业工程师进行评估、分析与跟进,并及时反馈处理进展。
  2. 科沃斯对收到的漏洞报告,将按照“接收-评估-修复-发布-披露”的标准流程进行处理,并与报告者保持专业沟通。
  3. 科沃斯谴责任何以漏洞测试为名,实际损害用户利益、破坏计算机信息系统安全的行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统或业务数据、窃取用户数据、恶意传播漏洞或数据等。未经科沃斯明确授权,禁止在任何公共场合或平台讨论或披露相关漏洞细节。对于上述行为,科沃斯将有权追究其法律责任。
  4. 科沃斯深信安全漏洞的妥善处理与行业进步需要各方共同努力。我们致力于加强与业界企业、安全公司及研究者的合作,共同维护信息安全生态。

二、漏洞提交流程
【漏洞提交】
漏洞报告者可在科沃斯产品安全中心提交您所发现的产品安全漏洞报告。
【漏洞审核阶段】
科沃斯产品安全中心将在确认收到报告后尽快启动审核评估。必要时,将通过官方邮箱 product-security@ecovacs.com与报告者沟通确认细节,请予以协助。
【漏洞处理阶段】
相关业务部门将根据漏洞修复优先级标准安排修复工作,修复时间视漏洞严重程度及修复复杂度而定。受版本发布周期限制的漏洞,将按实际情况确定修复时间。对于造成严重或重大影响的漏洞,将视情况发布紧急安全公告。所有修复工作均将遵循国家法律法规要求,修复完成后将进行验证并关闭相应流程。

三、漏洞通用评分规则
  1. 本标准仅针对科沃斯产品与业务,与科沃斯无关的漏洞不予奖励。
  2. 同一根本原因导致的多个漏洞计为一个有效漏洞,例如:同一服务器配置、应用框架全局功能、同一文件模板、泛域名解析等引发的问题。
  3. 在报告前,漏洞技术细节(如POC等信息)已在任何公开渠道(包括但不限于网站、自媒体、邮件组、公开演讲、即时通讯群等)披露的,不参与奖励计划。
  4. 对于多人或同一人重复提交的相同漏洞,以首次有效报告为准。因硬件、系统及架构相关漏洞修复周期较长,其重新接收时限以内部安全工单标记的修复完成时间为准。
  5. 非关键业务系统的漏洞,可视影响范围酌情降低评级;反之,关键业务系统且影响广泛的漏洞,可酌情提高评级。
  6. 任何以测试为名,实际进行损害用户利益、影响业务运作、提前公开漏洞、盗取数据等行为的,将不予奖励,且科沃斯保留追究法律责任的权利。

四、安全漏洞评分细则
云服务漏洞评估标准
  • 漏洞等级:严重
    • 直接获取核心系统权限(服务器端权限、客户端权限)。包括但不限于:命令注入、远程命令执行、上传WebShell、SQL注入获取系统权限、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行。
    • 严重的逻辑设计缺陷。包括但不仅限于关键业务系统的任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、交易支付类的严重问题。
    • 严重信息泄漏。包括但不限于通过SQL注入、接口越权等方式获取海量敏感信数据多元组或大量重要数据库信息。
  • 漏洞等级:高危
    • 直接导致用户身份信息泄露的漏洞。包括重点页面存储型XSS、普通站点SQL注入。
    • 未授权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码且存在重要业务或者个人敏感信息、篡改系统前端页面等。
    • 高风险的信息泄漏。包括但不限于源代码压缩包泄漏。
    • 高风险的SSRF,可探测内网并窃取内网重要信息或获取内网服务器权限的漏洞。
    • 高风险的逻辑缺陷。如认证模块的短信/邮件验证码绕过、暴力破解,导致任意用户登录或密码重置。
  • 漏洞等级:中危
    • 需交互才能获取用户身份信息的漏洞。包括但不限于反射型XSS(含反射型DOM-XSS)、可成功利用并窃取用户重要信息或权限的CSRF、普通业务的存储型XSS。
    • 普通信息泄漏。包括但不限于敏感信息(如数据库连接密码)的压缩包泄漏。
    • 普通越权操作。包括但不仅限于不正确的直接对象引用。
    • 普通逻辑缺陷。包括但不仅限于非认证模块的短信/邮件验证码绕过、暴力破解。
    • 非关键业务、利用难度较大的SQL注入等。
    • 非关键运维管理系统、测试数据库等未授权访问,且无重要数据或者其他进一步利用可能。
  • 漏洞等级:低危
    • 轻微信息泄漏。包括但不限于路径泄漏、SVN信息泄漏、LOG日志文件泄露、内网账号密码泄漏、GitHub泄露的非敏感系统源码及密码等。
    • 难以利用但存在隐患的问题。包括但不限于可能引起传播和利用的Self-XSS、文件解析漏洞、HTTP站点密码明文传输、注销后凭证未失效等。
    • 拒绝服务漏洞。如无需大量资源即可造成服务中断等。
  • 漏洞等级:忽略
    • 无实际危害的问题。包括但不仅限于产品功能缺陷、页面显示问题、不能重现的不泄露敏感信息的报错。
    • 无法利用或者无利用价值的漏洞。包括但不仅限于无敏感信息的目录遍历、401钓鱼、无法利用的编码缺陷、无实际危害的Self-XSS、无敏感操作的CSRF、无意义的异常信息泄露/前端源码泄露、无实际危害证明的扫描器结果、无敏感信息的jsonhijacking、仅有js与img等的打包文件、一般信息的logcat、用户名明文传输、iframe嵌套钓鱼、未实现SSL/TLS最佳安全实践等。
    • 无法直接体现漏洞的问题。包括但不仅限于纯属猜测、无敏感信息的测试页面、SSRF漏洞无法获取内网的相关服务器信息,仅简单访问dnslog、仅理论可行无实际利用案例的、使用了有漏洞组件但无法直接利用、未使用最佳安全配置等。
    • 非核心客户端本地拒绝服务漏洞,包括但不仅限于组件参数未验证导致的拒绝服务漏洞。无数据可用的普通运维管理系统等未授权访问。无实际影响的slowhttptest。需要较大成本的ddos攻击。Web端的中间人劫持。第三方工具或在线平台的扫描结果不能直接作为漏洞证明,无法提供具体的漏洞描述、验证方式和危害的,仅报告站点使用HTTP协议而非HTTPS协议不被认为是安全问题。仅端口开放而无法提供利用手段,如开放的MySQL服务等。无法复现的漏洞。
    • 违反安全设计原则但无具体利用手段的,如密码策略问题、尝试爆破账号密码但未成功、静态文件存储的pdf xss、百度地图ak泄漏,actuator无实际影响的开放路径如prometheus、并发点赞/少量短信等。
    • 非关键业务系统且影响范围有限的账户问题,包括但不限于用户名及手机号枚举、僵尸用户注册、图片验证码失效、撞库、口令暴力破解、邮件/短信轰炸等。以及经科沃斯确认无法重现的漏洞。

设备漏洞评估标准
  • 漏洞等级:严重
    • 严重的逻辑缺陷可造成用户较大经济损失的漏洞。
    • 无交互远程命令执行、任意代码执行等能导致远程控制设备并且窃取设备内隐私信息的漏洞。
    • 远程导致设备永久性拒绝服务的漏洞。包括但不仅限于设备完全损坏或需要重新刷写整个操作系统。注:需要提供exp或者能够证明漏洞可用性的poc。
  • 漏洞等级:高危
    • 局域网内无交互或者未授权的命令执行。
    • 互联网环境下能够获取设备内隐私信息的漏洞。注:需要提供exp或者能够证明漏洞可用性的poc。
    • 远程获取系统非特权权限的漏洞。包括但不仅限于远程命令行、任意代码执行等漏洞。
    • 导致设备拒绝服务的漏洞。包括但不仅限于本地发起的永久性拒绝服务攻击(设备永久性损坏或需要重新刷写整个操作系统)、远程攻击导致的暂时性拒绝服务(远程挂起或者重新启动)。
    • 远程越权操作漏洞。包括但不仅限于远程绕过用户授权进行敏感操作。
  • 漏洞等级:中危
    • 需要较苛刻环境下才能触发的危害较高的漏洞。
    • 导致设备暂时性拒绝服务的漏洞,包括但不仅限于本地攻击导致的暂时性拒绝服务。
    • 权限绕过漏洞。包括但不仅限于深入的绕过用户级防护功能,或在特权进程中利用缓解技术绕过设备保护功能的漏洞。
    • 本地越权操作漏洞。包括但不仅限于本地绕过用户授权进行敏感操作的漏洞。
    • 远程越权访问非敏感受控数据的漏洞。
  • 漏洞等级:低危
    • 不安全配置(利用难度较大或影响小的问题将忽略,详见忽略等级定义)低危的信息泄露,危害只造成信息泄露或有安全风险类漏洞;局域网内的拒绝服务、需用户交互后才能利用的拒绝服务。
    • 本地权限绕过漏洞。包括但不仅限于绕过用户级防护功能或在非特权进程中利用缓解技术存在的漏洞、获取用户非敏感受控数据的漏洞。
    • 本地越权操作漏洞。包括但不仅限于不通过用户交互的情况下,调用系统隐藏功能,对用户的使用造成实际困扰或发生实际损失的漏洞。
  • 漏洞等级:忽略
    • 设备固件未有效加密但无法从固件逆向出更严重漏洞。
    • 设备调试接口打开但无法获得shell。
    • 通过http下载固件,但固件自带完整性和来源认证。
    • 对自有设备的本地DDos攻击。
    • 已终止支持(EOL)的设备(严重漏洞除外)。
    • 信道占用类的拒绝服务或者临时拒绝服务。
    • 低影响拒绝服务:没有安全影响的软件功能性错误、应用程序级别的崩溃、简单的提示性弹窗、临时性的Framework重启。
    • 普通权限APP无法访问到的敏感信息存储;对用户无实际影响的日志数据、系统测试数据等。
    • 用户数据未经加密存储于外部存储设备中(不含带敏感信息的APP日志以及已承诺加密存储的数据)。
    • APP缺少代码混淆保护,APK可以被重打包,APP中含有硬编码或可恢复的非关键信息密钥,APP中缺乏二进制保护控制。
    • 需要物理接触,并破坏设备硬件完整性才可以发起的攻击。
    • 在开发者模式下发起的攻击(影响较大的可例外评估,如提权漏洞)。
    • 同时影响其他业界设备的开源及第三方漏洞(对设备影响较大的漏洞可例外评估)。
    • 当涉及的漏洞需要依赖某些权限才可被成功利用并造成影响,而该权限本身就可以造成同样效果。
    • 只提及可能存在漏洞但无利用方式,或者是无实际危害证明的扫描器结果,以及基于非法获得的机密信息所做的漏洞报告。

五、争议解决办法
        在漏洞处理过程中,若报告者对处理流程、漏洞评定或评级结果有异议,可通过邮箱 product-security@ecovacs.com 进行反馈,邮件标题请注明【科沃斯漏洞处理异议】。我们将优先处理此类反馈,并遵循尊重报告者权益的原则进行处理,必要时可引入外部安全专家共同裁定。
【奖励说明】
        对于提交高质量漏洞或积极参与的安全专家,科沃斯将不定期给予特别奖励。如因报告者提供信息有误、快递公司问题或不可抗力导致奖励无法送达,科沃斯不承担相关责任。