SECURITY CENTER
PSIRT VULNERABILITY DISCLOSURE PROGRAM
SECURITY ADVISORY COMPLIANCE
COMPLIANCE Compliance & Framework
  • Allineato a ISO/IEC 27001 (Controlli A.12, A.16)
  • Gestione incidenti conforme GDPR Art. 32 e 33
  • Processo di vulnerability management documentato
  • Registro degli incidenti e audit trail completo
LUCCHETTO Vulnerability Disclosure Program (VDP)

Accettiamo segnalazioni da ricercatori di sicurezza nel rispetto della responsible disclosure.

  • Email dedicata: security@breldoitalia.it
  • PGP Key disponibile su richiesta
  • SLA risposta iniziale: 72 ore
  • Tempo medio remediation: variabile per severità
Requisiti segnalazione
  • Descrizione tecnica dettagliata
  • Proof of Concept
  • Impatto potenziale
  • CVSS stimato (opzionale)

BILANCIA Safe Harbor Policy

BreldoItalia si impegna a collaborare con la comunità di sicurezza e garantisce che le attività di ricerca svolte in buona fede, nel rispetto del presente programma di Vulnerability Disclosure, non comporteranno azioni legali.

  • Le attività devono evitare interruzioni dei servizi
  • Non è consentito l’accesso ai dati degli utenti
  • È vietato lo sfruttamento attivo delle vulnerabilità
  • Le segnalazioni devono essere gestite in modo confidenziale fino alla disclosure ufficiale

DATABASE Advisory Database

ID CVE Prodotto CVSS Stato
GHUMI-2026-01 CVE Pending BreldoBox Gateway 8.8 HIGH Patch disponibile

NOTE GHUMI-2026-01

Prodotto: BreldoBox - UserPanel

Versioni: = 6.0

Fix: 6.1

CVE: Non ancora assegnata (CVE Pending)

CVSS

8.8 HIGH

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE

  • CWE-78 - Command Injection
  • CWE-284 - Improper Access Control
  • CWE-89 - SQL Injection
  • CWE-79 - XSS

Descrizione

È stata identificata una potenziale vulnerabilità di sicurezza nell’interfaccia di gestione utenti (/userpanel). In specifici scenari, un attore non autorizzato potrebbe sfruttare funzionalità dell’interfaccia web. È stato rilasciato un aggiornamento correttivo per migliorare i meccanismi di sicurezza.
L'analisi ha evidenziato potenziali vettori di attacco che includono:

  • Esecuzione di comandi lato sistema
  • Manipolazione query lato database
  • Bypass controlli di autenticazione/autorizzazione
  • Injection lato client (XSS)
Non risultano exploit attivi al momento della pubblicazione.

Mitigazione

  • Aggiornare i dispositivi alla versione Breldo O.S 6.1
  • Limitare accesso all’interfaccia di amministrazione
  • Utilizzare credenziali sicure

Download Advisory

Scarica Advisory PDF

Credits / Security Researcher

Vulnerabilità identificata e segnalata da:

OROLOGIO Disclosure Timeline

T0 - Segnalazione
T+3g - Validazione
T+7g - Classificazione
T+30g - Patch

LENTE Segnala una Vulnerabilità

Compila il form in modo dettagliato. Le segnalazioni incomplete potrebbero non essere processate.

?? Inserisci dati validi (no script o codice malevolo)