Seems like there is a more localized page available for your location.
Synology Bee 系列
群晖套件导览
安全性错误奖金计划
随着威胁的不断发展,以及频率和复杂程度的增加,Synology 正与安全研究人员合作,以便维持并进一步巩固我们的防护措施。
产品范围本计划仅接受与 Synology 的产品和网页服务相关的漏洞报告。不在计划范围内的漏洞报告通常不具备奖励资格;但是,根据具体情况,可能会接受关键漏洞的范围外报告。

操作系统

奖励高达

$30,000 美元

包括 Synology DiskStation Manager、Synology Router Manager 和 Synology BeeStation。

更多信息

软件和 C2 云服务

奖励高达

$10,000 美元

包括 Synology 开发的软件套件、相关移动应用程序和 C2 云服务。

更多信息

网页服务

奖励高达

$5,000 美元

包括所有主要 Synology 网页服务。

更多信息
奖励详情
奖励资格条件
请提供我们重现报告的问题所需的所有信息。具体奖励金额取决于所报告漏洞的严重性和受影响的产品类别。若要有资格获得奖励,报告必须满足以下条件:
  1. You are the first researcher to report this vulnerability
  2. 报告的漏洞确认为可验证、可复制且是有效的安全性问题
  3. 您的报告遵守奖金计划条款和法规
报告安全性错误如果您认为您发现了漏洞,请按照以下步骤操作:
步骤 1

使用奖金计划联系表与我们联系。

步骤 2

向 Synology 发送错误报告时,请使用此 PGP 密钥加密您的信息。

步骤 3

包含详细的概念证明 (PoC) 并确保报告的问题可以重现。

步骤 4

使您的描述简明扼要。例如,简短的概念验证链接比解释 SSRF 问题后果的视频更受重视。

您和我们的责任您的报告为了缩短我们的处理时间,合格的漏洞报告应该:
  1. 包含条理清晰的分步说明(英文),描述如何重现漏洞
  2. 演示漏洞如何影响 Synology 产品或网页服务,并描述受影响的版本和平台
  3. 说明所报告漏洞造成的潜在损害
我们的回复
Synology 安全团队将在 7 天内回复您的报告,并根据所造成威胁的严重性定期更新状态并尽快修复漏洞。如果您的漏洞报告有资格获得奖金,您的姓名将在我们官方网站的 Synology 产品安全顾问页面上列出,以表示我们的感谢。此流程至少需要 90 天。您的奖励将在流程完成后发放给您。
注意:Synology 保留随时更改或取消此计划(包括其政策)的权利,恕不另行通知。
操作系统
奖励

合格报告有资格获得高达 $30,000 美元的奖励。*

范围内的产品

仅接受有关正式发布版本的报告。

DiskStation Manager (DSM)

  • DSM 7(新版本)

Synology Router Manager (SRM)

  • SRM 1.3(新版本)

Synology Camera 固件

  • 固件 1.1(新版本)

Synology BeeStation

  • BeeStation OS 1.0(新版本)
法规和限制

本计划严格限于在 Synology 产品和服务中发现的安全性漏洞。严禁可能对 Synology 服务器或数据造成潜在损害或不利影响的行为。漏洞测试不得违反当地或台湾省法律。

如果漏洞报告描述或涉及以下内容,则本计划不会接受这类报告:

  1. 针对 Synology 或用户服务器进行的 DoS(拒绝服务)攻击
  2. 对 Synology 或用户的服务器或数据不利的漏洞测试
  3. 物理攻击或社交工程陷阱
  4. 在 Synology 批准之前披露错误信息
  5. 已过时服务或产品的非关键漏洞
  6. 仅影响已过时网页浏览器的漏洞
  7. 大多数类型的暴力破解
  8. 反射型 XSS 攻击或 Self XSS 攻击
  9. 涉及网络钓鱼、虚假网站创建或实施欺诈的漏洞
  10. 未详细说明漏洞影响的漏洞扫描报告
  11. 指出默认端口易受攻击,但未提供 PoC
  12. 缺少具体概念证明 (PoC) 的理论漏洞
  13. 单独的开放重定向通常被视为信息性的,没有资格获得奖励,除非它们导致了更重大的漏洞
  14. 缺少不会直接导致漏洞利用的安全性标题
  15. Cookie 中缺少安全性标记
  16. 用户枚举。概述用户枚举的报告不在奖励范围内,除非您可以证明我们没有实施速率限制来保护我们的用户。

*请参阅安全漏洞计划网页上的奖励详情页面以获取更多信息。
**SRM_LAN 漏洞的奖励高达 $5,000。
***摄像机固件漏洞的奖励高达 $10,000。

软件和 C2 云服务
奖励

合格报告有资格获得高达 $10,000 美元的奖励。*

范围内的产品

仅接受有关正式发布版本的报告。

套件

Synology 开发的软件套件

桌面客户端

Synology 开发的 Windows、macOS 和 Linux 应用程序

移动应用程序

Synology 开发的适用于 Android 和 iOS 的移动应用程序

Synology 帐户

  • *.account.synology.com 域
  • *.identity.synology.com 域

C2 服务

*.c2.synology.com 域

法规和限制

本计划严格限于在 Synology 产品和服务中发现的安全性漏洞。严禁可能对 Synology 服务器或数据造成潜在损害或不利影响的行为。漏洞测试不得违反当地或台湾省法律。

如果漏洞报告描述或涉及以下内容,则本计划不会接受这类报告:

  1. 针对 Synology 或用户服务器进行的 DoS(拒绝服务)攻击
  2. 对 Synology 或用户的服务器或数据不利的漏洞测试
  3. 物理攻击或社交工程陷阱
  4. 在 Synology 批准之前披露错误信息
  5. 已过时服务或产品的非关键漏洞
  6. 仅影响已过时网页浏览器的漏洞
  7. 大多数类型的暴力破解
  8. 反射型 XSS 攻击或 Self XSS 攻击
  9. 涉及网络钓鱼、虚假网站创建或实施欺诈的漏洞
  10. 未详细说明漏洞影响的漏洞扫描报告
  11. 指出默认端口易受攻击,但未提供 PoC
  12. 缺少具体概念证明 (PoC) 的理论漏洞
  13. 单独的开放重定向通常被视为信息性的,没有资格获得奖励,除非它们导致了更重大的漏洞
  14. 缺少不会直接导致漏洞利用的安全性标题
  15. Cookie 中缺少安全性标记
  16. 用户枚举。概述用户枚举的报告不在奖励范围内,除非您可以证明我们没有实施速率限制来保护我们的用户。

*请参阅安全性错误计划网页上的奖励详情页面,以了解更多详细信息。

网页服务
奖励

合格报告有资格获得高达 $5,000 美元的奖励。*

范围内的产品

以下域(包括子域)处于范围内:

*.synology.com

以下域(包括子域)不在范围内:

openstack-ci-logs.synology.com、router.synology.com

Synology 保留随时修改此列表的权利,恕不另行通知。

法规和限制

本计划严格限于在 Synology 产品和服务中发现的安全性漏洞。严禁可能对 Synology 服务器或数据造成潜在损害或不利影响的行为。漏洞测试不得违反当地或台湾省法律。

如果漏洞报告描述或涉及以下内容,则本计划不会接受这类报告:

  1. 针对 Synology 或用户服务器进行的 DoS(拒绝服务)攻击
  2. 对 Synology 或用户的服务器或数据不利的漏洞测试
  3. 物理攻击或社交工程陷阱
  4. 在 Synology 批准之前披露错误信息
  5. https://*archive.synology.com 上的目录遍历
  6. 反射型文件下载
  7. 横幅抓取问题或软件版本披露
  8. 在 90 天披露的 0 日漏洞
  9. 已过时服务或产品的非关键漏洞
  10. 仅影响已过时网页浏览器的漏洞
  11. 大多数类型的暴力破解
  12. 反射型 XSS 攻击或 Self XSS 攻击
  13. 涉及网络钓鱼、虚假网站创建或实施欺诈的漏洞
  14. 未详细说明漏洞影响的漏洞扫描报告
  15. 指出默认端口易受攻击,但未提供 PoC
  16. 缺少具体概念证明 (PoC) 的理论漏洞
  17. 单独的开放重定向通常被视为信息性的,没有资格获得奖励,除非它们导致了更重大的漏洞
  18. 缺少不会直接导致漏洞利用的安全性标题
  19. Cookie 中缺少安全性标记
  20. 用户枚举。概述用户枚举的报告不在奖励范围内,除非您可以证明我们没有实施速率限制来保护我们的用户。

*请参阅安全性错误计划网页上的奖励详情页面,以了解更多详细信息。

奖励详情
本页面旨在帮助研究人员了解针对特定漏洞类型的潜在奖励上限,并重点介绍了 Synology 非常重视的漏洞类型。我们重视您的贡献,并致力于对重要的安全性研究给予相当可观的奖励。表中的奖励显示针对每个类别的可能奖励上限,但并非每个符合资格的报告都能保证获得所列出的金额。*
严重
操作系统软件和 C2 云服务网页服务
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
重要
操作系统软件和 C2 云服务网页服务
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
中等
操作系统软件和 C2 云服务网页服务
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100

1. 自 2024 年 10 月 1 日起,admin-auth vulnerability 的奖励将设定为100美元。

注意:

  • 请注意,虽然提供了奖励指南,但每个报告都会进行单独处理和全面评估。评分会考虑各种因素,包括但不限于奖励说明中详述的范围。Synology 保留对奖励金额进行最终解释的权利。
  • 对于归类为“低严重性”或“建议”的问题,我们仅发送确认及感谢回复。
常见问题我应该如何报告漏洞?请提供详细的 PoC(概念证明)并确保报告的问题可以重现。在向我们发送错误报告时,请使用 Synology 提供的此 PGP 密钥加密,请勿向第三方披露相关信息。谁负责确定我的错误报告是否符合奖励条件?所有错误报告均由 Synology 安全团队进行审查和评估,该团队由 Synology 的高阶安全分析师组成。如果在修复之前公开披露错误会有什么后果?我们会努力及时响应错误报告,并在合理时间内修复有关错误。请在您公开披露错误信息之前提前通知我们。不遵循此原则的错误披露都将不符合奖励条件。在过时的软件(如 Apache 或 Nginx)中发现的漏洞是否符合奖励条件?请标识软件中的漏洞,并解释您为何怀疑这些漏洞会对软件使用造成损害。忽略此类型信息的报告通常没有资格获得奖金。我能否要求不在 Synology 安全顾问页面上列出我的姓名?可以。您可以要求不在我们的安全顾问页面上列出您的姓名。但如果您符合奖励条件并希望接受奖励,则仍需提供您的联系信息以便处理付款事宜。报告给漏洞代理的漏洞是否仍符合奖励条件?出于错误修复之外的目的,私自向第三方披露漏洞,则违背了我们设立此计划的初衷。因此,这类报告将不符合奖励条件。如有多人报告同一错误,谁有资格获得奖金?The reward is granted to the first person who discovers a vulnerability that was previously unknown to us. 
致谢我们想向帮助过我们的安全研究人员和组织致以敬意。
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)