OpenCallForPaper OpenCallForPaper v1.5.0

Política de Seguridad

Responsible Disclosure — v1.5.0

La seguridad de nuestra plataforma y de los datos de nuestros usuarios es nuestra máxima prioridad.

OpenCallForPaper es un proyecto open-source desarrollado por TTPSEC SPA, utilizado por la 8.8 Computer Security Conference — la conferencia de ciberseguridad más grande de Latinoamérica — para gestionar sus convocatorias de ponencias.

Agradecemos a los investigadores de seguridad que nos ayudan a mantener la plataforma segura a través de la divulgación responsable.

1 Alcance

Esta política aplica a los siguientes activos:

Dominio principal

cfp.8dot8.org

API

cfp.8dot8.org/api/*

Código fuente

github.com/ttpsecspa/OpenCallForPaper

security.txt

.well-known/security.txt

2 Cómo reportar una vulnerabilidad

Si descubres una vulnerabilidad de seguridad, por favor repórtala de forma responsable:

Email (preferido)

security@8dot8.org

Email alternativo

cfp@8dot8.org

Tu reporte debe incluir:

  • Descripción detallada de la vulnerabilidad
  • Pasos para reproducir (PoC)
  • Impacto potencial y severidad estimada (CVSS si es posible)
  • Capturas de pantalla o videos si aplica
  • Tu información de contacto para seguimiento

3 Tiempos de respuesta

24h

Acuse de recibo

72h

Evaluación inicial

90 días

Plazo de corrección

4 Reglas de divulgación responsable

Reporta la vulnerabilidad directamente a nosotros antes de hacerla pública

Danos un plazo razonable para corregir el problema antes de cualquier divulgación

No accedas, modifiques ni elimines datos de otros usuarios

No realices ataques de denegación de servicio (DoS/DDoS)

No utilices ingeniería social, phishing ni ataques físicos

No uses herramientas automatizadas agresivas que puedan afectar la disponibilidad

5 Fuera de alcance

  • Reportes de vulnerabilidades en servicios de terceros (CDNs, hosting)
  • Ataques que requieren acceso físico al servidor
  • Clickjacking en páginas sin acciones sensibles
  • Enumeración de usuarios vía mensajes de error genéricos
  • Falta de headers no relacionados con seguridad
  • Vulnerabilidades en versiones desactualizadas del navegador
  • Rate limiting excesivo sin impacto demostrable

6 Protecciones implementadas

OpenCallForPaper implementa protecciones contra las siguientes vulnerabilidades críticas:

CWE-89

SQL Injection

Prepared statements en todas las queries

CWE-79

XSS

Escape de salida con htmlspecialchars

CWE-352

CSRF

Tokens de validación en formularios

CWE-307

Brute Force

Rate limiting: 20 intentos / 15 min

CWE-434

File Upload

Validación MIME + extensión + tamaño

CWE-862

IDOR

Control de acceso basado en roles

CWE-863

Scope Auth

Admin solo ve sus conferencias

CWE-916

Weak Hash

bcrypt con cost 12

CWE-521

Weak Password

8-72 chars, upper+lower+digit

CWE-200

Info Leak

Errores genéricos en producción

CWE-22

Path Traversal

Nombres aleatorios para archivos

CWE-400

Resource DoS

Límite de tamaño en uploads

CWE-208

Timing Attack

Comparación de tiempo constante

CWE-20

Input Validation

Validación estricta en todos los inputs

CWE-915

Mass Assignment

Whitelist de campos permitidos

7 Hall of Fame

Agradecemos a todos los investigadores que han reportado vulnerabilidades de forma responsable.

Sé el primero en aparecer aquí. Reporta a security@8dot8.org

8 security.txt (RFC 9116)

Cumplimos con el estándar RFC 9116 para la divulgación de información de seguridad:

Contact: mailto:security@8dot8.org Contact: https://cfp.8dot8.org/seguridad Expires: 2027-03-19T00:00:00.000Z Preferred-Languages: es, en Policy: https://cfp.8dot8.org/seguridad Canonical: https://cfp.8dot8.org/.well-known/security.txt

Archivo disponible en: /.well-known/security.txt

Protección de tu privacidad

Este sitio utiliza unicamente cookies estrictamente necesarias para el funcionamiento de la plataforma (sesion y seguridad). No utilizamos cookies de rastreo ni de publicidad. Política de privacidad