漏洞管理策略 | PingCAP 平凯星辰

在 PingCAP，我们非常重视产品相关的安全问题。如果您在使用或测试我们的产品过程中发现安全漏洞，我们鼓励您向我们的安全团队报告，以帮助 TiDB 提升产品和业务的安全性，从而为我们的用户提供更好的安全保障。

适用范围

本风险处理标准适用于 PingCAP 的核心开源产品及公开网互联网应用，包括但不限于：tidbcloud.com、tidb-cloud.com、tidbapi.com、pingcap.com，以及与 TiDB 产品直接相关的组件，如 TiKV、TiDB、TIFlash、PD 等。

行为准则

PingCAP 鼓励安全研究人员积极发现并报告我司产品或服务中的安全漏洞，但同时希望您的行为遵循以下要求：

请勿在最低验证之外利用任何安全漏洞；
请勿进行网络拒绝服务（DoS 或 DDoS）测试；
请勿进行物理测试、近源攻击、社会工程学测试或任何其他非技术漏洞测试；
请避免访问我司信息系统中存储的任何数据。如果在测试过程中发现用户身份信息、订单信息、银行卡信息、业务信息等敏感数据，请立即停止测试并及时与我们联系。
在任何情况下，请勿泄露在漏洞测试过程中所获得的任何信息。
我们坚决反对并谴责任何以漏洞测试为名进行的破坏性行为，特别是利用安全漏洞对 PingCAP 系统及用户利益造成损害的行为。如果发生这种情况，我们将行使诉诸所有刑事和民事法律补救措施的权利。

漏洞提交与处理流程

漏洞提交

漏洞报告者可以通过 security@pingcap.com 向 TiDB 安全团队报告漏洞，请按照以下格式提供尽可能多的漏洞信息（* 表示必填项）：

漏洞标题*：
危害描述*：
受影响的组件和版本号*：
CVE 编号（如果有）：
复现该漏洞所需的步骤、脚本*：
联系信息*：
修复建议*：

漏洞处理流程

TiDB 安全团队将在接受到漏洞后第一时间进行复现确认，并在 2 个工作日内确认漏洞并与您取得联系。

漏洞评级标准

根据漏洞危害程度将评级分为严重、高危、中危、低危、忽略，共五个等级，每个等级对应不同的基础积分范围。

本规则仅作为参考，漏洞的最终评分会按照漏洞的影响范围、实际利用难度、报告的详细程度、复测过程中上报者的配合程度、以及修复建议的可行性等多维度综合评分，PingCAP 拥有最终解释权。

【严重】

直接获取系统权限（服务器端权限）: 例如远程命令执行、任意代码执行、上传获取 Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以远程获取系统、容器、POD 权限的漏洞

严重的敏感信息泄漏: 例如核心 DB 的 SQL注入漏洞、核心 DB（资金、用户身份、用户其它敏感数据）的越权漏洞，可获取大量核心的用户身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露

直接导致核心系统业务拒绝服务的漏洞: 例如直接导致核心 API 业务及TiDB组件拒绝服务等

严重的逻辑设计缺陷和流程缺陷: 例如任意账号登录、接管、批量修改任意帐号密码、任意金额支付等严重问题

【高危】

敏感信息越权访问: 例如绕过认证直接访问管理后台以修改大量前台敏感信息，或利用后台弱密码、SSRF 获取大量云上内网敏感信息

敏感信息泄漏: 例如遍历导致大量敏感数据泄露、非核心 DBSQL 注入、源代码压缩包泄漏、硬编码KEY、密码等问题引起的敏感信息泄露

越权敏感操作: 例如越权查看用户敏感信息

核心业务且大范围影响用户的其他漏洞: 例如重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等

【中危】

需交互方可影响用户的漏洞: 例如普通业务的反射型XSS、重要操作的 CSRF 等

普通信息泄露: 包括但不限于 Github 涉及 TiDB内部非重要非敏感信息泄露

普通越权操作: 包括但不限于越权查询租户 id、越权查询集群 id 等非敏感功能越权

普通的逻辑设计缺陷和流程缺陷导致的安全风险: 包括但不限于短信验证码绕过、邮件验证绕过

【低危】

轻微信息泄露: 包括但不限于 git 非敏感非重要信息泄漏、调试页面泄露，服务端配置信息泄漏，且不具备造成危害的信息泄露

拒绝服务漏洞: 包括但不限于服务器本地拒绝服务、客户端本地拒绝服务（由客户端的组件权限暴露、普通应用权限引起的问题等。

难以利用但存在安全隐患的漏洞: 包括但不限于难以利用的 SQL 注入点、反射型 XSS、普通操作的 CSRF

其他只能造成轻微影响的漏洞: 包括但不限于无交互的任意 URL 跳转

【忽略】

对于已由其他白帽子或公司内部提前知晓的漏洞；
包括但不限于纯属用户猜测、未经过验证的问题、无意义的扫描报告；
社会工程学攻击、近源攻击、物理攻击
缺少 HTTP 安全标头或者需启用特定的 HTTP 方法
邮箱 SPF 配置问题
任何 API 接口的蛮力攻击
网站页面点击劫持
HTML 内容注入
robots.txt 文件的泄露
电子邮件欺骗
页面的错误信息
Golang 或者 javascript 函数错误
API 接口无速率限制
非敏感文件泄露
DDOS 或者 HTTP 洪水攻击造成的拒绝服务
服务器版本信息泄露
弱密码策略或者数据库 hash 加盐问题
SSL/TLS 版本过低
依赖的第三方组件存在漏洞但无法验证复现的问题

奖励规则

漏洞奖励的最终金额将根据以下综合因素决定：

业务的重要程度：漏洞是否涉及核心业务，核心业务对整体系统或服务的运行具有关键影响。
漏洞的危害程度：漏洞等级的严重性，例如是否会导致数据泄露、严重的逻辑设计缺陷等。
修复建议的可行性：提交者是否提供了清晰、可执行的修复方案，有助于快速修复漏洞。

我们希望通过公平透明的方式给予奖励，以鼓励大家参与并提高产品的安全性。然而，对于特殊情况（如漏洞报告重复、不符合有效性标准或未达到奖励条件等），我们保留决定是否支付奖金的权利。

业务分类

【核心业务】： tidbcloud.com、tidb-cloud.com、tidbapi.com 及 TiDB 产品相关核心组件
【一般业务】：除核心产品外的一些在线站点及组件

TiDB 已修复漏洞披露

漏洞名称	受影响的组件	CVSS	影响版本	修复版本	漏洞描述
TiFlash 开放了不必要的端口	TiFlash Server	CVSS v3 score：8.2 => High sererity	4.0.0 <= TiFlash < 7.1.0	>= 7.1.0	默认部署时，TiFlash 开放了不必要的http端口。
TiDB Dashboard 存在 SSRF 漏洞	TiDB Dashboard	CVSS v3 score：7.3 => High sererity	7.2.0-DMR 7.3.0-DMR <= 6.5.3 <= 7.1.1	7.4.0-DMR >= 6.5.4 >= 7.1.2 >= 7.5.0	SSRF 漏洞，允许攻击者通过受信任的服务器发送恶意请求到目标服务器。
TiDB DSN 注入	TiDB Server	CVSS v3 score: 9.8 => Critical sererity	<=6.1.2 >= 6.2.0 & <= 6.4.0-alpha1	6.1.3 6.4.0	DSN 注入漏洞，可能导致任意文件读取。
TiFlash 开放了不必要的端口	TiFlash	CVSS v3 score：8.6 => High sererity	4.0.0 <= TiFlash < 7.1.0	TiFlash 7.1.0 (TiUP >= v1.12.5 or TiDB Operator >= v1.5.0)	默认部署时，TiFlash 开放了不必要的端口。
TiDB 认证绕过漏洞	TiDB Server	CVSS v3 score: 8.4 => High severity	5.3.0	5.3.1	特定条件下，用户可以利用该漏洞绕过身份校验。
TiDB DML SQL 执行漏洞	TiDB Server	CVSS v3 score: 8.2 => High severity	<=4.0.14 <=5.0.3 <=5.1.1	4.0.15 5.0.4 5.1.2	TiDB http 状态服务存在 SQL 注入漏洞，攻击者可以通过该漏洞获得数据库权限。
TiDB caching_sha2_password 绕过密码认证登录	TiDB Server	CVSS v3 score: 7.6 => High severity	<=4.0.6	4.0.7	特定条件下用户可以绕过 caching_sha2_password 的认证机制登录 TiDB。

保密原则

我们非常感谢您就任何实际或潜在的安全漏洞提供意见。为了尽量减少过早公开信息的不良后果，并根据法律要求，我们恳请您遵守以下行为准则：

该漏洞在 TiDB 发布补丁之前不会对外或向第三方公开：在 TiDB 相关方接收到漏洞信息、完成漏洞处置前及预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期，各方研判后协商拟定灵活实际的漏洞公开披露时间。
不要透露漏洞的详细细节信息，例如漏洞利用代码，避免漏洞信息被不当利用。
遵守知识产权保护法律法规及商业秘密协定。

联系方式

如您对于本规则有任何疑问，或在漏洞处理过程中对于处理流程，漏洞评定或奖励规则有任何争议的，请以邮件方式联系【security@pingcap.com】进行反馈。