2022年3月1日00:00至2022年3月7日23:59

OPPO自有业务与测试环境的互联网应用安全漏洞

详情请参考《互联网应用安全漏洞评分标准v2.2》中2.1与2.2部分

Log4j2远程代码执行漏洞

根据OSRC现有评分奖励规则，在上述范围内，自有业务环境下每提交一个有效Log4j漏洞，可获得额外奖励5000元；

测试环境下每提交一个有效Log4j漏洞，可获得额外奖励500元。

注：第三方业务暂不参与活动

1. 为方便审核人员定位与排查，漏洞证明时请提供漏洞入口的HTTP请求包、通过dnslog获得的主机名信息；

2. 通过dnslog方式证明存在漏洞即可，禁止进一步利用，如读写文件、反弹shell、内网渗透等

3. 由于漏洞调用链可能存在多条，多处不同入口的漏洞利用最终影响同一个主机/应用/集群，识别为相同漏洞源（即业务修复一次可满足），一般只给第一个提交者奖励；

4. 漏洞评分请参考《互联网应用安全漏洞评分标准v2.2》；

5.该活动奖励将跟随每月奖励发出，如有疑问请联系QQ：3004602569；

6.提交漏洞格式请按“【Log4j2】+漏洞名”的格式提交报告；

7.活动最终解释权归OSRC所有。