Programa de Divulgación de Vulnerabilidades (VDP) – DockerLabs

En dockerlabs.es creemos en la importancia de la seguridad y en la colaboración con la comunidad. Por ello contamos con un Programa de Divulgación de Vulnerabilidades (VDP), donde los usuarios pueden ayudarnos a identificar y reportar posibles fallos de seguridad en la plataforma.

Alcance del programa

El programa está enfocado en vulnerabilidades que afecten a la plataforma dockerlabs.es y sus servicios asociados.

En scope

Se consideran dentro del alcance, de forma orientativa, los siguientes activos y tipos de fallos:

• Aplicación web principal: https://dockerlabs.es y subdominios oficiales gestionados por el equipo de DockerLabs.
• Fallas de autenticación o gestión de sesiones (login, registro, recuperación de contraseña, tokens, cookies, etc.).
• Vulnerabilidades de inyección (SQLi, XSS almacenado/reflejado, template injection, command injection, etc.).
• Problemas de control de acceso (IDOR, escalado horizontal o vertical de privilegios, bypass de controles de rol, etc.).
• Exposición de información sensible (datos de usuarios, secretos, claves, configuraciones internas, etc.).
• Subida insegura de ficheros (RCE, ejecución de scripts, evasión de validaciones, etc.).
• Vulnerabilidades que permitan suplantación de identidad o acción en nombre de otros usuarios.
• Configuraciones de seguridad defectuosas que tengan un impacto claro y demostrable en la confidencialidad, integridad o disponibilidad.

Fuera de alcance (Out of scope)

Para optimizar el tiempo de revisión y centrarnos en problemas con impacto real, se consideran fuera de alcance los siguientes puntos:

• Ataques de DoS / DDoS, pruebas de carga o cualquier acción que afecte a la disponibilidad del servicio.
• Problemas puramente visuales o cosméticos (CSS, maquetación, texto, ortografía, etc.).
• Vulnerabilidades que requieran un dispositivo comprometido o malware en el equipo de la víctima para ser explotadas.
• Supuestos sin un escenario de explotación realista o con impacto insignificante.
• Enumeración de usuarios sin impacto adicional (por ejemplo, mensajes de error que indiquen si un usuario existe o no).
• Falta de cabeceras de seguridad sin un vector de explotación claro (por ejemplo, ausencia aislada de X-Frame-Options o X-Content-Type-Options).
• Clickjacking sobre páginas sin acciones sensibles.
• Problemas derivados exclusivamente de servicios de terceros o integraciones externas fuera del control de DockerLabs.
• Vulnerabilidades que solo afectan a navegadores muy obsoletos o configuraciones no estándar.
• Uso de credenciales filtradas de otras brechas externas o ataques de fuerza bruta masivos.

Normas de comportamiento

Para participar en el programa, te pedimos que sigas estas reglas básicas:

• No realizar ataques de DoS / DDoS ni afectar a la disponibilidad del servicio.
• No explotar vulnerabilidades más allá de lo necesario para demostrar el fallo.
• No acceder, modificar ni eliminar datos de otros usuarios.
• No utilizar las vulnerabilidades encontradas para fines maliciosos.

Cómo reportar una vulnerabilidad

Si encuentras una vulnerabilidad en la plataforma, por favor envía un informe con el máximo detalle posible (pasos para reproducir, impacto, pruebas realizadas, etc.).

Puedes reportar la vulnerabilidad contactando directamente a través de mi perfil de LinkedIn:

Reportar vulnerabilidad por LinkedIn

Agradecemos enormemente la colaboración de la comunidad y el tiempo invertido en ayudarnos a mejorar la seguridad de DockerLabs.