{"id":303219,"date":"2021-11-12T19:57:11","date_gmt":"2021-11-12T19:57:11","guid":{"rendered":"https:\/\/neweb.pandorafms.com\/?page_id=303219"},"modified":"2025-01-22T09:26:56","modified_gmt":"2025-01-22T09:26:56","slug":"politica-de-revelacion-de-vulnerabilidades","status":"publish","type":"page","link":"https:\/\/pandorafms.com\/es\/seguridad\/politica-de-revelacion-de-vulnerabilidades\/","title":{"rendered":"Pol\u00edtica de revelaci\u00f3n de vulnerabilidades"},"content":{"rendered":"<p>[et_pb_section fb_built=\u00bb1&#8243; custom_padding_last_edited=\u00bbon|desktop\u00bb admin_label=\u00bbHeader 2024&#8243; _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_color=\u00bbrgba(193,204,220,0.25)\u00bb background_enable_image=\u00bboff\u00bb background_size=\u00bbcustom\u00bb background_image_width=\u00bb1280px\u00bb background_position=\u00bbbottom_center\u00bb max_width=\u00bb98%\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_margin_tablet=\u00bb10px|10px|0px|10px|false|true\u00bb custom_margin_phone=\u00bb10px|10px|0px|10px|false|true\u00bb custom_margin_last_edited=\u00bbon|phone\u00bb custom_padding=\u00bb10px|20px|20px|20px|false|true\u00bb custom_padding_tablet=\u00bb10px|20px|0px|20px|false|true\u00bb custom_padding_phone=\u00bb10px|10px|0px|10px|false|true\u00bb background_last_edited=\u00bboff|desktop\u00bb background_size_tablet=\u00bbcontain\u00bb border_radii=\u00bbon|20px|20px|20px|20px\u00bb global_colors_info=\u00bb{}\u00bb background__hover_enabled=\u00bboff|desktop\u00bb][et_pb_row column_structure=\u00bb3_5,2_5&#8243; use_custom_gutter=\u00bbon\u00bb gutter_width=\u00bb1&#8243; make_equal=\u00bbon\u00bb custom_padding_last_edited=\u00bbon|phone\u00bb admin_label=\u00bbIntro\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb width=\u00bb90%\u00bb width_tablet=\u00bb90%\u00bb width_phone=\u00bb100%\u00bb width_last_edited=\u00bbon|phone\u00bb max_width=\u00bb1280px\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb0px||0px||true|false\u00bb custom_padding_tablet=\u00bb0px||0px||true|false\u00bb custom_padding_phone=\u00bb|0px||0px|true|true\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb3_5&#8243; _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_color=\u00bb#ffffff\u00bb background_enable_image=\u00bboff\u00bb custom_padding=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_tablet=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_phone=\u00bb20px|20px|20px|20px|true|true\u00bb custom_padding_last_edited=\u00bbon|phone\u00bb custom_css_main_element=\u00bbmargin-right:10px!important;\u00bb border_radii=\u00bbon|10px|10px|10px|10px\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb header_font_size=\u00bb2em\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb0px||40px||false|false\u00bb custom_padding=\u00bb0px||0px||true|false\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n<h1 class=\"h1-b\"><span style=\"font-size: 0.4em!important; text-transform: uppercase; color: #318280; letter-spacing: 0.03em!important;\">POL\u00cdTICA DE REVELACI\u00d3N DE VULNERABILIDADES<\/span><br \/>\nFacilitamos la gesti\u00f3n de las vulnerabilidades de seguridad<\/h1>\n<p>[\/et_pb_text][\/et_pb_column][et_pb_column type=\u00bb2_5&#8243; disabled_on=\u00bboff|off|off\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_enable_color=\u00bboff\u00bb background_image=\u00bbhttps:\/\/pandorafms.com\/wp-content\/uploads\/2024\/02\/politica-de-revelacion-de-vulnerabilidades.webp\u00bb custom_padding=\u00bb0px|0px|0px|0px|true|true\u00bb custom_css_main_element=\u00bbtop:0px;\u00bb border_radii=\u00bbon|10px|10px|10px|10px\u00bb global_colors_info=\u00bb{}\u00bb custom_css_main_element_last_edited=\u00bbon|tablet\u00bb custom_css_main_element_tablet=\u00bbtop:10px;\u00bb custom_css_main_element_phone=\u00bbtop:10px;\u00bb][et_pb_image src=\u00bbhttps:\/\/pandorafms.com\/wp-content\/uploads\/2024\/01\/Invisible-frame.png\u00bb alt=\u00bbPandora FMS\u00bb title_text=\u00bbPandora FMS\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_enable_video_mp4=\u00bboff\u00bb background_enable_video_webm=\u00bboff\u00bb width=\u00bb40%\u00bb custom_margin=\u00bb0px|0px|0px|0px|false|false\u00bb custom_padding=\u00bb0px|0px|0px|0px|false|false\u00bb border_radii=\u00bbon|10px|10px|10px|10px\u00bb global_colors_info=\u00bb{}\u00bb][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=\u00bb1_2,1_2&#8243; use_custom_gutter=\u00bbon\u00bb gutter_width=\u00bb1&#8243; make_equal=\u00bbon\u00bb custom_padding_last_edited=\u00bboff|tablet\u00bb admin_label=\u00bbtexto\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb width=\u00bb90%\u00bb width_tablet=\u00bb90%\u00bb width_phone=\u00bb100%\u00bb width_last_edited=\u00bbon|phone\u00bb max_width=\u00bb1280px\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb20px||0px||false|false\u00bb custom_padding_tablet=\u00bb40px||40px||true|false\u00bb custom_padding_phone=\u00bb|0px||0px|true|true\u00bb global_colors_info=\u00bb{}\u00bb custom_padding__hover_enabled=\u00bboff|desktop\u00bb][et_pb_column type=\u00bb1_2&#8243; _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_color=\u00bb#ffffff\u00bb background_enable_image=\u00bboff\u00bb custom_padding=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_tablet=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_phone=\u00bb20px|20px|20px|20px|true|true\u00bb custom_padding_last_edited=\u00bbon|phone\u00bb custom_css_main_element=\u00bbmargin-right:10px!important;\u00bb border_radii=\u00bbon|10px|10px|10px|10px\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb0px||0px||true|false\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n<h3>Informar de una vulnerabilidad<\/h3>\n<p>&nbsp;<\/p>\n<p>Recomendamos encarecidamente que nos informes a nosotros primero de las posibles vulnerabilidades de seguridad, antes de revelarlas en un foro p\u00fablico. La direcci\u00f3n de correo electr\u00f3nico principal para informar de cualquier vulnerabilidad o problema de seguridad es\u00a0<a href=\"mailto:%20security@pandorafms.com\">security@pandorafms.com<\/a>. El uso de otras direcciones de contacto generales no proporcionar\u00e1 una gesti\u00f3n adecuada de los problemas de seguridad. Por lo que utiliza solo esta direcci\u00f3n para informar sobre una vulnerabilidad de seguridad no divulgada.<\/p>\n<p><strong>Ten en cuenta que los contactos de seguridad solo deben utilizarse para informar sobre vulnerabilidades de seguridad no reveladas en Pandora FMS y gestionar el proceso de reparaci\u00f3n de dichas vulnerabilidades. No podemos aceptar informes de errores comunes o preguntas sobre la arquitectura de seguridad en esta direcci\u00f3n. Se ignorar\u00e1 todo correo enviado a estas direcciones que no est\u00e9 relacionado con un problema de seguridad no revelado en Pandora FMS.<\/strong><\/p>\n<p><strong>Tambi\u00e9n ten en cuenta que el equipo de seguridad gestiona las vulnerabilidades en Pandora FMS, no brinda soporte, servicios de consultor\u00eda, implementaci\u00f3n, ni desarrolla funcionalidades personalizadas. Todos los informes de vulnerabilidades deben enviarse \u00fanicamente a\u00a0<a href=\"mailto:%20security@pandorafms.com\">security@pandorafms.com<\/a>.<\/strong><\/p>\n<p>Env\u00eda un correo electr\u00f3nico de texto sin formato por cada vulnerabilidad que quieras notificar. Es posible que te pidamos que vuelvas a enviar tu informe si lo env\u00edas como un archivo adjunto de imagen, v\u00eddeo, HTML o PDF cuando se podr\u00eda describir f\u00e1cilmente con texto sin formato. No env\u00edes un solo correo que contenga varios problemas a la vez.<\/p>\n<p>Los env\u00edos cifrados no son obligatorios ni recomendados, ya que nos llevar\u00e1 mucho m\u00e1s tiempo responder a estos informes.<\/p>\n<hr \/>\n<h3>\u00bfC\u00f3mo informar de un problema de seguridad?<\/h3>\n<p>&nbsp;<\/p>\n<p>La siguiente informaci\u00f3n ser\u00e1 \u00fatil para el equipo de seguridad de Pandora FMS:<\/p>\n<ul class=\"introti\" style=\"margin-left: 30px;\">\n<li>Fecha y hora en que identific\u00f3 el fallo de seguridad.<\/li>\n<li>Rango de versiones de Pandora FMS afectadas.<\/li>\n<li>Tipo de problema de seguridad a informar, por ejemplo: XSS, CSRF, SQLi, RCE.<\/li>\n<li>Componentes afectados, por ejemplo: Consola, Servidor, Agente, API\u2026<\/li>\n<li>Cualquier detalle que pueda proporcionar, por ejemplo, capturas de pantalla, grabaciones de pantalla, registros de transacciones http(s) y\u00a0 POC exploits (no comparta ninguna evidencia a trav\u00e9s de servicios de intercambio de archivos no autenticados y evite compartir informaci\u00f3n confidencial).<\/li>\n<li>Instrucciones paso a paso para reproducir el problema, ya que es posible que no se pueda identificar f\u00e1cilmente.<\/li>\n<\/ul>\n<hr \/>\n<h3>Informaci\u00f3n sobre la vulnerabilidad<\/h3>\n<p>&nbsp;<\/p>\n<p>La informaci\u00f3n sobre las vulnerabilidades publicadas de Pandora FMS generalmente se puede encontrar en las notas de las actualizaciones mensuales. Si no puedes encontrar la informaci\u00f3n que buscas en el sitio web del proyecto, pregunta en los foros. Los contactos de seguridad <strong>no deben utilizarse para hacer preguntas sobre<\/strong>:<\/p>\n<ul class=\"introti\" style=\"margin: 30px 30px;\">\n<li>c\u00f3mo configurar el paquete de forma segura;<\/li>\n<li>si una vulnerabilidad publicada aplica a versiones espec\u00edficas de los paquetes de Pandora FMS que est\u00e9 utilizando;<\/li>\n<li>si una vulnerabilidad publicada aplica a la configuraci\u00f3n de los paquetes de Pandora FMS que est\u00e9 utilizando;<\/li>\n<li>obtener m\u00e1s informaci\u00f3n sobre una vulnerabilidad publicada;<\/li>\n<li>la disponibilidad de parches y\/o nuevas versiones para abordar una vulnerabilidad publicada.<\/li>\n<\/ul>\n<p>Nuestros foros p\u00fablicos son el lugar para hacer tales preguntas. Cualquier pregunta enviada al equipo de seguridad de Pandora FMS ser\u00e1 ignorada.<\/p>\n<p>[\/et_pb_text][\/et_pb_column][et_pb_column type=\u00bb1_2&#8243; _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_color=\u00bb#ffffff\u00bb background_enable_image=\u00bboff\u00bb custom_padding=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_tablet=\u00bb4%|4%|4%|4%|true|true\u00bb custom_padding_phone=\u00bb20px|20px|20px|20px|true|true\u00bb custom_padding_last_edited=\u00bbon|phone\u00bb custom_css_main_element=\u00bbmargin-right:10px!important;\u00bb border_radii=\u00bbon|10px|10px|10px|10px\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb0px||0px||true|false\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n<h3>Gesti\u00f3n de vulnerabilidades<\/h3>\n<p>&nbsp;<\/p>\n<p>El proceso general para gestionar una nueva vulnerabilidad de seguridad es el siguiente.<\/p>\n<p><strong><i>Nota: No se debe hacer p\u00fablica informaci\u00f3n sobre la vulnerabilidad hasta que no se anuncie formalmente al final de este proceso. Eso significa, por ejemplo, que NO se debe crear un ticket en Github para rastrear el problema, ya que lo har\u00e1 p\u00fablico. Adem\u00e1s, los mensajes asociados con cualquier commit no deben hacer NINGUNA referencia a la naturaleza de seguridad del commit.<\/i><\/strong><\/p>\n<ul class=\"introti\" style=\"margin: 30px 30px;\">\n<li>La persona que encuentre el problema, y que informe de la vulnerabilidad, debe hacerlo en privado a\u00a0<a href=\"mailto:%20security@pandorafms.com\">security@pandorafms.com<\/a>.<\/li>\n<li>Los mensajes que no se relacionen con la notificaci\u00f3n o la gesti\u00f3n de una vulnerabilidad de seguridad no revelada en Pandora FMS se ignorar\u00e1n y no ser\u00e1 necesario realizar ninguna otra acci\u00f3n.<\/li>\n<li>Si se informa a\u00a0<a href=\"mailto:%20security@pandorafms.com\">security@pandorafms.com<\/a>, el equipo de seguridad enviar\u00e1 el informe (sin acuse de recibo) a otros miembros del equipo de seguridad.<\/li>\n<li>El equipo del proyecto enviar\u00e1 un correo electr\u00f3nico a quien haya informado originalmente para dar acuse de recibo del informe.<\/li>\n<li>El equipo del proyecto investigar\u00e1 el informe y lo rechazar\u00e1 o lo aceptar\u00e1.<\/li>\n<li>Si el informe es rechazado, el equipo del proyecto escribir\u00e1 a quien ha informado para explicar el motivo.<\/li>\n<li>Si se acepta el informe, el equipo del proyecto redactar\u00e1 un informe para hacerle saber que se acepta y que est\u00e1n trabajando en una soluci\u00f3n.<\/li>\n<li>El equipo de seguridad asignar\u00e1 un n\u00famero de caso de seguridad interno y uno o m\u00e1s tickets de desarrollo asignados al n\u00famero de caso de seguridad.<\/li>\n<li>El equipo de seguridad te asignar\u00e1 un c\u00f3digo CVE. Pandora FMS es un CNA de CVE<\/li>\n<li>El equipo del proyecto proporcionar\u00e1 a quien haya informado del problema una copia de la correcci\u00f3n y un borrador del anuncio de vulnerabilidad para que comente.<\/li>\n<li>El equipo de seguridad acordar\u00e1 una vez hecha la correcci\u00f3n, el anuncio y el calendario de publicaci\u00f3n con quien haya informado del problema. El nivel de detalle a incluir en el informe es una cuesti\u00f3n de criterio. Generalmente, los informes deben contener suficiente informaci\u00f3n para permitir que se pueda evaluar el riesgo asociado con la vulnerabilidad para su sistema y nada m\u00e1s. Normalmente, no se incluyen los pasos para reproducir la vulnerabilidad.<\/li>\n<li>El equipo del proyecto confirmar\u00e1 la correcci\u00f3n y la incluir\u00e1 en una actualizaci\u00f3n.<\/li>\n<li>El equipo del proyecto anunciar\u00e1 su publicaci\u00f3n. El anuncio de su publicaci\u00f3n debe enviarse a trav\u00e9s de los canales habituales (bolet\u00edn, foros, sitio web).<\/li>\n<li>A los clientes con acuerdos de soporte v\u00e1lidos se les enviar\u00e1 por correo electr\u00f3nico durante el per\u00edodo de tiempo en el que sea posible actualizar antes de que el problema se de a conocer al p\u00fablico.<\/li>\n<li>El equipo del proyecto anunciar\u00e1 la vulnerabilidad al p\u00fablico (incluida la actualizaci\u00f3n de CVE). El anuncio de la vulnerabilidad debe enviarse DESPU\u00c9S del anuncio de actualizaci\u00f3n. La mayor\u00eda de las veces, el aviso p\u00fablico es al menos UN MES despu\u00e9s del lanzamiento de la correcci\u00f3n, para dar tiempo suficiente a los usuarios y clientes a que actualicen el software.<\/li>\n<\/ul>\n<p>La informaci\u00f3n se puede compartir con expertos en la materia (por ejemplo, compa\u00f1eros de trabajo) a discreci\u00f3n del equipo de seguridad del proyecto, siempre que quede claro que la informaci\u00f3n no es para divulgaci\u00f3n p\u00fablica y que\u00a0<a href=\"mailto:%20security@pandorafms.com\">security@pandorafms.com<\/a>\u00a0debe dejarse en copia en cualquier comunicaci\u00f3n relacionada con la vulnerabilidad.<\/p>\n<p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"<p>POL\u00cdTICA DE REVELACI\u00d3N DE VULNERABILIDADES Facilitamos la gesti\u00f3n de las vulnerabilidades de seguridadInformar de una vulnerabilidad &nbsp; Recomendamos encarecidamente que nos informes a nosotros primero de las posibles vulnerabilidades de seguridad, antes de revelarlas en un foro p\u00fablico. La direcci\u00f3n de correo electr\u00f3nico principal para informar de cualquier vulnerabilidad o problema de seguridad es\u00a0security@pandorafms.com. El [&hellip;]<\/p>\n","protected":false},"author":33,"featured_media":0,"parent":303186,"menu_order":3,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"[et_pb_section fb_built=\"1\" admin_label=\"Banner\" _builder_version=\"4.11.4\" _module_preset=\"default\" background_color=\"#0c3936\" use_background_color_gradient=\"on\" background_color_gradient_start=\"rgba(5,32,31,0.8)\" background_color_gradient_end=\"rgba(0,0,0,0.9)\" background_color_gradient_overlays_image=\"on\" background_image=\"https:\/\/pandorafms.com\/wp-content\/uploads\/2021\/11\/pandorafms-security-disclosure-policy.jpg\" background_enable_video_mp4=\"off\" background_video_pause_outside_viewport=\"off\" custom_margin=\"0px|0px|0px|0px|true|true\" custom_padding=\"80px|0px|0px|0px|false|true\" animation_direction=\"top\" hover_enabled=\"0\" locked=\"off\" global_colors_info=\"{}\" alt=\"Pandora FMS Disclosure policy\" title_text=\"Pandora FMS Disclosure policy\" sticky_enabled=\"0\"][et_pb_row admin_label=\"Texto\" _builder_version=\"4.11.4\" _module_preset=\"default\" width=\"100%\" max_width=\"800px\" module_alignment=\"center\" custom_margin=\"0px||0px||true|false\" custom_padding=\"0px||0px||true|false\" global_colors_info=\"{}\"][et_pb_column type=\"4_4\" _builder_version=\"4.7.1\" _module_preset=\"default\" global_colors_info=\"{}\"][et_pb_text _builder_version=\"4.11.4\" _module_preset=\"default\" text_orientation=\"center\" custom_margin=\"0px||0px||true|false\" custom_padding=\"0px||0px||true|false\" hover_enabled=\"0\" global_colors_info=\"{}\" sticky_enabled=\"0\"]\r\n<h1 class=\"prehead\">Pandora FMS disclosure policy<\/h1>\r\n<p class=\"h1-w\">Providing coordination of the handling of security vulnerabilities<\/p>\r\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=\"1_2,1_2\" admin_label=\"Bits\" module_class=\"dos-col\" _builder_version=\"4.11.4\" _module_preset=\"default\" width=\"100%\" max_width=\"100%\" custom_margin=\"15px||0px||false|false\" custom_margin_tablet=\"30px||-30px||false|false\" custom_margin_phone=\"||-30px||false|false\" custom_margin_last_edited=\"on|phone\" custom_padding=\"0px||0px||true|false\" custom_css_main_element=\"display:flex;\" saved_tabs=\"all\" global_colors_info=\"{}\"][et_pb_column type=\"1_2\" _builder_version=\"4.7.1\" _module_preset=\"default\" global_colors_info=\"{}\"][et_pb_image src=\"https:\/\/pandorafms.com\/wp-content\/uploads\/2021\/10\/data1.png\" alt=\"Data Pandora\" title_text=\"Data Pandora\" _builder_version=\"4.7.1\" _module_preset=\"default\" global_colors_info=\"{}\"][\/et_pb_image][\/et_pb_column][et_pb_column type=\"1_2\" _builder_version=\"4.7.1\" _module_preset=\"default\" global_colors_info=\"{}\"][et_pb_image src=\"https:\/\/pandorafms.com\/wp-content\/uploads\/2021\/10\/data2.png\" alt=\"Data Pandora\" title_text=\"Data Pandora\" align=\"right\" _builder_version=\"4.7.1\" _module_preset=\"default\" custom_margin=\"0px||0px||true|false\" custom_padding=\"0px||0px||true|false\" global_colors_info=\"{}\"][\/et_pb_image][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=\"1\" _builder_version=\"4.11.4\" _module_preset=\"default\" custom_margin=\"0px||0px||true|false\" custom_padding=\"70px||70px||true|false\" hover_enabled=\"0\" sticky_enabled=\"0\"][et_pb_row _builder_version=\"4.11.4\" _module_preset=\"default\" custom_margin=\"0px||0px||true|false\" custom_padding=\"0px||0px||true|false\" hover_enabled=\"0\" sticky_enabled=\"0\" max_width=\"900px\"][et_pb_column _builder_version=\"4.11.4\" _module_preset=\"default\" type=\"4_4\"][et_pb_text _builder_version=\"4.11.4\" _module_preset=\"default\" hover_enabled=\"0\" global_colors_info=\"{}\" custom_margin=\"0px||0px||true|false\" custom_padding=\"0px||0px||true|false\" sticky_enabled=\"0\"]\r\n<h2>Reporting a vulnerability<\/h2>\r\nWe strongly encourage the reporting of potential security vulnerabilities to us first, before disclosing them in a public forum.\r\n\r\nThe main email address to report any vulnerability or security issue is <a href=\"mailto:security@pandorafms.com\"><b>security@pandorafms.com<\/b><\/a>. Usage of other general-purpose addresses of contact will not render a proper management of security issues, please use this address for\u00a0 undisclosed security vulnerability to report.\r\n\r\n<b>Please note that the security contacts should only be used for reporting undisclosed security vulnerabilities in Pandora FMS\u00a0 and managing the process of fixing such vulnerabilities.<\/b> We cannot accept regular bug reports or questions about security architecture at this addresses. All mail sent to these addresses that does not relate to an undisclosed security problem in Pandora FMS will be ignored.\r\n\r\n<b>Also note that the security team handles vulnerabilities in Pandora FMS, not provide support, consulting services, deployment or develop custom features. All reports of vulnerabilities should be sent to security@pandorafms.com only.<\/b>\r\n\r\nPlease send one plain-text email for each vulnerability you are reporting. We may ask you to resubmit your report if you send it as an image, movie, HTML, or PDF attachment when it could just as easily be described with plain text. Please do not send a single mail containing several issues at once.\r\n\r\nEncrypted submissions are not required or preferred as it will take us much longer to respond to these reports.\r\n\r\n<hr>\r\n\r\n<h2>How to report a security issue?<\/h2>\r\nThe following information will be helpful for Pandora FMS Security team:\r\n<ul style=\"font-family:Pandora-Light\">\r\n \t<li>Date and time when you identified the security defect.<\/li>\r\n \t<li>Affected Pandora FMS version range.<\/li>\r\n \t<li>Type of security issue you are reporting, e.g.: XSS, CSRF, SQLi, RCE.<\/li>\r\n \t<li>Affected components, e.g.: Console, Server, Agent, API...<\/li>\r\n \t<li>Any details you can provide, e.g. screenshots, screen recordings, http(s) transaction logs, POC exploits (please do not share any evidence via unauthenticated file sharing services and avoid sharing sensitive information.<\/li>\r\n \t<li>Step by step instructions to reproduce the issue as the problem might not be easily identifiable.<\/li>\r\n<\/ul>\r\n\r\n<hr>\r\n\r\n<h2>Vulnerability information<\/h2>\r\nInformation on the published vulnerabilities for Pandora FMS can usually be found on the release notes. If you can't find the information you are looking for on the project's web site, you should ask your question on the forums. The security contacts <b>should not be used to ask questions about<\/b>\r\n<ul style=\"font-family:Pandora-Light\">\r\n \t<li>How to configure the package securely;<\/li>\r\n \t<li>If a published vulnerability applies to specific versions of the Pandora FMS packages you are using;<\/li>\r\n \t<li>If a published vulnerability applies to the configuration of the Pandora FMS packages you are using;<\/li>\r\n \t<li>Obtaining further information on a published vulnerability;<\/li>\r\n \t<li>The availability of patches and\/or new releases to address a published vulnerability.<\/li>\r\n<\/ul>\r\nOur public forums are the place to ask such questions. Any such questions sent to the Pandora FMS Security Team will be ignored.\r\n\r\n<hr>\r\n\r\n<h2>Vulnerability handling<\/h2>\r\nA typical process for handling a new security vulnerability is as follows:\r\n\r\n<b><i>Note: No information should be made public about the vulnerability until it is formally announced at the end of this process. That means, for example that a Github issue must NOT be created to track the issue since that will make the issue public. Also the messages associated with any commits should not make ANY reference to the security nature of the commit.<\/i><\/b>\r\n\r\n1- The person discovering the issue, the reporter, reports the vulnerability privately to security@pandorafms.com.\r\n\r\n2- Messages that do not relate to the reporting or managing of an undisclosed security vulnerability in Pandora FMS are ignored and no further action is required.\r\n\r\n3- If reported to security@pandorafms.com, the security team will forward the report (without acknowledging it) to other members of the security team.\r\n\r\n4- The project team sends an e-mail to the original reporter to acknowledge the report.\r\n\r\n5- The project team investigates the report and either rejects it or accepts it.\r\n\r\n6- If the report is rejected, the project team writes to the reporter to explain why.\r\n\r\n7- If the report is accepted, the project team writes a report to let them know it is accepted and that they are working on a fix.\r\n\r\n8- The security team will assign an internal security case number and one or more development tickets assigned to the security case number.\r\n\r\n9- The security team will ask the reporter for a CVE number.\r\n\r\n10- The project team provides the reporter with a copy of the fix and a draft vulnerability announcement for comment.\r\n\r\n11- The security team agrees with the fix, the announcement and the release schedule with the reporter. The level of detail to include in the report is a matter of judgement. Generally, reports should contain enough information to enable people to assess the risk associated with the vulnerability for their system and no more.\r\n\r\n12- Steps to reproduce the vulnerability are not normally included.\r\n\r\n13- The project team commits the fix and includes it in a release.\r\n\r\n14- The project team announces the release. The release announcement should be sent to the usual channels (newsletter, forums, website).\r\n\r\n15- Clients with valid support agreements are emailed giving a period of time when it is possible to upgrade before the issue becomes known to the public.\r\n\r\n16- The project team announces the vulnerability to the public (including CVE update). The vulnerability announcement should be sent AFTER the release announcement. Most times the public notice is at least ONE MONTH later the release of the fix, to give enough time to users and customers to update the software.\r\n\r\nInformation may be shared with domain experts (e.g. colleagues at your employer) at the discretion of the project's security team providing that it is made clear that the information is not for public disclosure and that security@pandorafms.com must be copied on any communication regarding the vulnerability.[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]","_et_gb_content_width":"","_joinchat":[],"footnotes":""},"class_list":["post-303219","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/pages\/303219","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/users\/33"}],"replies":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/comments?post=303219"}],"version-history":[{"count":8,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/pages\/303219\/revisions"}],"predecessor-version":[{"id":382587,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/pages\/303219\/revisions\/382587"}],"up":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/pages\/303186"}],"wp:attachment":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/media?parent=303219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}