漏洞评分标准更新(20201123)V1.2.2

公告编号:MEIZUSRC-20201123-1

公告来源:魅族安全应急中心

公告时间:2020-11-23



修改了基础分值 严重 30-50 高危 15-25 中危 11-13 低危 1-10。


增加了 严重漏洞 中 5条 直接的导致系统拒绝服务攻击。包括但不限于业务逻辑导致的拒绝服务攻击、业务API网关等服务导致的拒绝服务攻击。

增加了 严重漏洞 中 6条 远程执行系统命令的漏洞。包括但不限于通过WEB、API、云系统、客户端等所产生的任何形式远程执行系统命令漏洞。(例如发现web有反序列化漏洞并且成功执行系统命令)。
增加了 无 安全等级中 以下系统将不再收取(详细链接查看)  重复提交漏洞。

修改了 评分标准通用原则 中11条 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时魅族保留采取进一步法律行动的权利。 改为 遵守《中华人民共和国网络安全法》法律,以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时魅族保留采取进一步法律行动的权利。
增加了 评分标准通用原则 中第12条 在同系统不同接口相同漏洞分多个独立漏洞提交将进行降级处理,在不同业务相同系统架构同漏洞多接口的分多个独立漏洞提交的将进行降级处理。

增加了 评分标准通用原则 中第13条 不属于安全漏洞的一概归类为BUG,可前往 https://bbs.meizu.cn/forum-60-1.html 反馈。

增加了 评分标准通用原则 中第14条 若提交漏洞所属业务为废弃业务或边缘业务,将进行酌情收取。

增加了 评分标准通用原则 中第15条 短信轰炸以可连续单IP在10分钟内发送50条为例,以下被限制的不予收取,以上至无限制的收取。

增加了 评分标准通用原则 中第16条 特定需要POC进行验证的请提供详细POC文件,否则可能产生漏洞复现不成功不予收取。

增加了 评分标准通用原则 中第17条 魅族内部员工发现漏洞请走内部提交通道发送邮件到web_sec@meizu.com