您当前访问的的浏览器版本过低,为了给您带来更好的体验,建议您升级至Edge浏览器或者推荐使用Google浏览器
取消

中兴通讯产品安全奖励计划

更新日期:2023.9.5

本计划包括中兴通讯如下产品范围:

产品类型 型号
5G融合核心网 云应用:ZXUN USPP, ZXUN uMAC, ZXUN xGW, ZXUN i5GC
云管理:CloudStudio NFVO&VNFM
云平台:TECS CloudFoundations
5G基站 ZXRAN V9200, 统一管理专家(UME)
固网 光接入:ZXA10 C600V1/V2, ZXA10 C610V3
智慧家庭:ZXHN F613GV9, ZXHN F610GV9, ZXHN F657GV9, ZXHN F680 V9.0, ZHHN F6600 V9.0, ZXHN E1630
家庭媒体中心 ZXV10 B866V2-H, ZXV10 B866V2F,  ZXV10 B860AV3.2-M, ZXV10 S100V7
视频 视讯平台:ZXV10 M9530
会议终端:ZXV10 XT501
联络中心:ZXNGCC
云计算 云电脑:uSmartView
云终端:W600D
数字能源 数据中心:数据中心智能管理系统(iDCIM)
通信能源:网络能源管理方案(iEnergy)
终端产品 智能机:努比亚Z50, 努比亚Z50 Ultra, 努比亚Z50S Pro
移动互联:MC888,  MU5120

1. 漏洞奖励和评级标准

1.1 漏洞奖励

奖励根据漏洞对产品影响程度、影响范围、漏洞等级,以及漏洞报告的描述清晰度进行计算。

严重程度 严重 高危 中危 低危
奖励 ¥6000~¥60000 ¥3000~¥15000 ¥600~¥3000 ¥200~¥600

1.2 漏洞评级标准

【严重】

1)直接获取核心系统(核心控制系统、域控、业务分发系统、堡垒机、防火墙等可管理大量服务器的管控系统)或核心服务器权限的漏洞,包括但不限于:上传Webshell、任意代码执行、远程命令执行、服务器解析漏洞、文件包含漏洞、远程缓冲区溢出、虚拟机逃逸、SQL注入获取系统权限;

2)核心系统严重的信息泄露漏洞,包括但不限于:核心DB的SQL注入、大量用户重要敏感信息泄露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、企业内部核心数据泄露、核心设备配置数据和日志数据泄露;

3)核心系统严重的逻辑设计漏洞或流程缺陷,包括但不限于:批量修改任意账号密码漏洞、任意账号资金消费和任意金额修改的支付漏洞等,对用户、公司造成重大损失;

4)可远程对核心系统、核心服务器的可用性造成永久严重影响的漏洞,包括但不限于:直接导致核心系统业务瘫痪、核心服务器瘫痪的拒绝服务漏洞。

【高危】

1)直接获取重要业务服务器权限的漏洞,包括但不限于:上传Webshell、任意代码执行、任意命令执行、服务器解析漏洞、文件包含漏洞、远程缓冲区溢出、虚拟机逃逸、SQL注入漏洞;

2)直接导致重要的信息泄漏漏洞,包括但不限于:重要DB的SQL注入漏洞、文件遍历、服务器任意文件读取、重要业务大量源码或压缩包泄露;

3)大范围影响用户的漏洞,包括但不限于:核心业务可造成自动传播的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS、可导致蠕虫的CSRF等、可获取敏感信息或者执行敏感操作的重要客户端产品的XSS漏洞;

4)严重的越权访问,包括但不限于:弱口令或绕过认证访问重要系统后台、批量盗取用户重要身份信息、远程方式获取普通移动客户端权限执行任意命令和代码;

5)较严重的逻辑设计或流程缺陷,如重要系统任意密码重置漏洞;

6)可远程对重要业务系统、重要服务器的可用性造成永久严重影响的漏洞,包括但不限于:直接导致重要系统业务瘫痪、重要服务器瘫痪的拒绝服务漏洞。

中危】

1)需交互才能获取用户身份信息的漏洞,包括但不限于:重要敏感操作的CSRF、普通业务的存储型XSS;

2)较严重的信息泄漏,包括但不限于:获取非敏感数据的SQL注入漏洞、无法回显的SSRF漏洞、包含敏感信息(如DB连接密码)的源代码或压缩包泄漏、本地保存的敏感认证密钥信息泄露(需能做出有效利用);

3)普通的越权访问漏洞,包括但不限于:绕过限制访问非重要系统后台、不正确的直接对象引用、绕过限制修改用户资料、执行用户操作、读取用户信息、非关键业务篡改;

4)普通逻辑设计缺陷,包括但不限于:验证码逻辑错误导致任意账户登录、任意密码找回等系统敏感操作可被爆破成功造成的漏洞、无限制短信等发送等;

5)任意文件操作漏洞,包括但不限于:任意文件读/写/删除/下载等操作、任意文件上传,如上传html导致存储型XSS。

【低危】

1)跨站脚本漏洞,包括但不限于:反射型XSS(包括DOM XSS和Flash XSS)、Json Hijacking;

2)危害有限的越权操作。

1.3 不予奖励范围

以下攻击不在我们的漏洞奖励计划范围内:

1)在奖励计划所列机型以外的漏洞不奖励;

2)没有安全影响的软件功能性错误;

3)轻微的信息泄漏,包括但不限于:绝对路径泄漏、phpinfo、svn/cvs信息泄漏、Web目录遍历、系统路径遍历、目录浏览、有一定敏感信息的本地日志等;

4)存在安全隐患但难以利用的漏洞,包括但不仅限于:需要用户连续交互的敏感安全漏洞、难以利用的SQL注入点、客户端本地拒绝服务;

5)无法利用的漏洞,包括但不限于没有实际危害证明的漏洞扫描报告、无敏感操作的CSRF、无意义的源码泄漏、内网IP地址/域名泄漏;

6)不能直接反映漏洞存在的其他问题,包括但不限于纯属用户猜测的问题;

7)提交网上公开或已知漏洞;

8) 使用开启了开发者模式的手机测试发现的漏洞;

9)遍历手机号发短信,遍历用户名(邮箱)判断是否已注册、邮箱轰炸、无意义或无影响的越权;

10)电子邮件欺骗;

11)URL跳转漏洞;

12)任意形式的社会工程攻击;

13)低影响的本地DoS攻击;

14)暂时性拒绝服务攻击导致系统挂起或设备重启(导致服务进程挂死或异常退出的可例外评估);

15)所有暴力强力拒绝服务攻击;

16)任何使设备永久无法工作的攻击;

17)需要过度的用户交互或欺骗用户的场景,如钓鱼攻击或点击劫持;

18)基于通过非法途径获得中兴通讯机密信息所做的报告;

19)完全或部分路径泄漏,但可演示实际的安全影响时除外;

20)多人提交重复的漏洞,只有第一份报告有资格获得奖励;如果漏洞的补丁版本已规划发布,该报告也会视为重复;

21)影响中兴通讯设备的开源及第三方漏洞通常不奖励(对影响较大的漏洞可例外评估,奖励金额低于同级别原创漏洞)。

2. 报告要求

为了便于验证和定位漏洞,漏洞报告应包含该漏洞的详细说明和完整的POC或Exploit。

2.1 报告描述要求

1)漏洞描述,需要包含漏洞类型、产生原因、利用方式、漏洞可能造成的安全风险等;

2)受影响的产品或服务名称、模块名称、详细的版本信息、具体的漏洞位置;

3)描述复现所需的详细步骤,采用文字、截图、图形等方式,按步骤详细阐述复现过程(推荐提交漏洞复现视频)。

2.2 POC或Exploit要求

1)提供完整可编译的POC或Exploit,可使用POC或Exploit成功验证提交的漏洞;

2)编译和运行环境说明,需包括:编译器名称,编译器版本,编译选项以及操作系统版本等必要信息;

3)POC或者Exploit的运行结果应该与报告描述一致。

漏洞报告需包含详细的漏洞描述、漏洞危害证明以及漏洞复现的POC,以便快速响应。对于漏洞报告过于简单、无任何危害证明的报告将降分处理或直接忽略。

请确保上报的报告不涉及知识产权问题,不包含法律或宗教所禁止的内容。

由于安全漏洞属于敏感信息,强烈建议使用中兴通讯的PGP公钥(key ID:FF095577)进行加密,直接发送到psirt@zte.com.cn。

3. 法律信息

参与中兴通讯漏洞奖励计划并上报漏洞不能涉及以下违规行为:

1)您只能利用、调查或攻击您自己的帐户、设备的漏洞;

2)您的测试活动不能对中兴通讯的产品和服务的性能或可用性造成负面影响,不能中断在线业务,不能攻击中兴通讯内部或外部服务器,也不应造成数据或物理资产的损坏;

3)测试过程中不应下载业务敏感数据,包括但不限于源代码、用户个人资料等,不得以任何方式使用、披露、存储或记录该信息;若存在不知情的下载行为需及时反馈说明并删除文件;

4)未经中兴通讯事先书面同意,禁止对外披露关于中兴通讯产品或服务安全漏洞的任何细节信息(这包括除您之外的任何第三方);

5)不能故意制作,传播计算机病毒等恶意程序;

6)不能侵犯任何第三方权利(包括知识产权);

7)您不得是中兴通讯股份公司及子公司员工、外包员工或承包商,您也不得是员工、外包员工或承包商的直系亲属。

如果您以安全测试为借口,利用漏洞信息进行损害用户利益、影响业务正常运作、盗取用户数据等行为给我们造成了损失,或违反了相关法律法规,中兴通讯将保留追究法律责任的权力。

4. 奖励发放

1)符合条件的漏洞奖励200元~60000元不等。每个漏洞将根据漏洞的严重级别、攻击复杂度、影响范围和报告的详细程度进行奖励;

2)通过中兴通讯企业银行账户支付漏洞奖励。为完成奖励支付,我们需要收集您的国籍、所在城市、真实姓名、手机号码、身份证号码、家庭或公司地址、银行卡号及其开户行名称和银行SWIFT代码等必要信息。我们向您承诺收集这些信息只用于支付漏洞奖励,不会用作其他用途;

3)为了遵从适用的税务相关法律要求,中兴通讯在给您支付奖金时已经代扣代缴了个人所得税。

5. 争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等存在异议,请发邮件至:psirt@zte.com.cn,将有工作人员和您沟通。

6. 其他

1)我们将会定期更新纳入奖励范围的产品、服务清单;

2)与安全漏洞无关问题将不会被答复和处理,节假日期间的响应时间会有所顺延;

3)本漏洞奖励计划自发布日期起生效;漏洞严重级别、奖励金额和支付过程完全由中兴通讯决定;我们还可以随时停止奖励计划;

4)中兴通讯PSIRT对以上所有条款具有最终解释权。

7. 修订记录

V1.0  2020.9.19    初始发布

V1.1  2020.10.19  更新参与漏洞奖励的产品范围

V1.2  2020.10.30  更新漏洞奖励章节

V1.3  2020.12.11  更新参与漏洞奖励的产品范围

V1.4  2021.1.15    更新参与漏洞奖励的产品范围

V1.5  2021.4.15    更新漏洞奖励章节

V1.6  2021.4.29    更新参与漏洞奖励的产品范围

V1.7  2021.8.6      更新参与漏洞奖励的产品范围

V1.8  2022.1.27    更新漏洞奖励、漏洞评级标准、不予奖励范围、法律信息等

V1.9  2022.6.13    更新参与漏洞奖励的产品范围

V1.10  2023.2.23    更新参与漏洞奖励的产品范围

V1.11  2023.4.11    更新参与漏洞奖励的产品范围、不予奖励范围

V1.12  2023.9.5    更新参与漏洞奖励的产品范围