El Ayuntamiento de Madrid, en su compromiso con la seguridad de la información de sus ciudadanos y servicios, ofrece la oportunidad de realizar una notificación responsable de las vulnerabilidades encontradas en sus sistemas y servicios, siempre y cuando se respeten los principios éticos y buenas prácticas. Puede ponerse en contacto con CCMAD a través del security.txt o bien este usar este formulario.
En agradecimiento por su contribución a la mejora de los servicios de Información del Ayuntamiento de Madrid
CCMAD valora los hallazgos de alta calidad, originales y bien documentados.
El envío de reportes automatizados o de baja calidad puede penalizar la posibilidad de aparecer en el Hall of Fame.
ORO
- Credenciales de Root de un sistema con impacto masivo o infraestructura Cloud.
- Ejecución remota de código (RCE) sin autenticación.
- Cadena de exploits con RCE final.
- Escape de contenedor/Sandbox/VM.
- SSRF con acceso a datos internos.
- Auth bypass completo.
- IDOR con acceso a datos sensibles.
- XSS persistente con robo de sesión.
PLATA
- Credenciales de acceso a información sensible de un aplicativo.
- Inyección SQL explotable.
- SSRF con acceso limitado.
- Escalada de privilegios local.
- Bypass parcial de controles.
- CSRF con impacto reducido.
- XSS reflejado o almacenado.
- IDOR sin datos críticos.
- Suplantación de usuarios.
BRONCE
- Credenciales por defecto.
- Enumeración de usuarios.
- Clickjaking sin impacto real.
- Errores de configuración no críticos/menores.
- Información no sensible expuesta.
Omegapoint
Vade
