Actualizaciones de seguridad
    • Última actualización: 07/28/2023
      Publicado originalmente: 07/25/2023

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro PDF Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución

      Nitro Pro 13.70.4.50 y anteriores

      Nitro Pro v14.1.2.47 – 14.5.0.11

      Vulnerabilidad de seguridad en Artifex Ghostscript

      Se ha identificado una vulnerabilidad de seguridad en Artifex Ghostscript, que se utiliza para la conversión y procesamiento de archivos.

      CVE-2023-36664Resuelto

      Actualice a v13.70.7.60

      Actualice a v14.7.1.21 o posterior

    • Última actualización: 03/16/2023
      Publicado originalmente: 03/16/2023

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.70.2 y anteriores

      Una vulnerabilidad de seguridad en la versión Zlib, una biblioteca de compresión de datos utilizada por Nitro PDF Pro

      Se ha descubierto una vulnerabilidad de seguridad en la versión Zlib, que es una biblioteca de compresión de datos utilizada por Nitro PDF Pro.

      CVE-2022-37434ResueltoActualícese a la última versión de Nitro PDF Pro
      Nitro Pro v 13.70.2 y anteriores

      Vulnerabilidad de OpenSSL: acceso al recurso mediante un tipo incompatible ('Confusión de tipos')

      Vulnerabilidad de OpenSSL: acceso al recurso mediante un tipo incompatible ('Confusión de tipos'). Esta vulnerabilidad se ha solucionado al actualizar a OpenSSL 1.1.1t.

      CVE-2023-0286ResueltoActualícese a la última versión de Nitro PDF Pro
    • Última actualización: 12/7/2022
      Publicado originalmente: 12/7/2022

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.70.0 y anteriores

      Ejecución de comandos arbitrarios dentro de la aplicación

      Existe una vulnerabilidad por la que la aplicación permite que documentos PDF especialmente diseñados ejecuten comandos arbitrarios dentro de la aplicación.

      CVE-2022-46406ResueltoActualícese a la última versión de Nitro PDF Pro
    • Última actualización: 10/25/2021
      Publicado originalmente: 10/25/2021

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.49 y anteriores

      JavaScript local_file_path Vulnerabilidad de uso de objeto después de libre

      Un documento especialmente diseñado puede hacer que un objeto que contenga la ruta a un documento sea destruido y posteriormente reutilizado, dando lugar a una vulnerabilidad de uso después de libre, que puede conducir a la ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de que abra un documento para activar esta vulnerabilidad.

      CVE-2021-21796
      ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.49 y anteriores

      JavaScript TimeOutObject doble vulnerabilidad libre

      Un documento especialmente diseñado puede hacer que una referencia a un objeto de tiempo de espera se almacene en dos lugares diferentes. Al cerrar el documento, la referencia se liberará dos veces. Esto puede llevar a la ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de que abra un documento para activar esta vulnerabilidad.

      CVE-2021-21797
      ResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 9/10/2021
      Publicado originalmente: 9/10/2021

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.47 y anteriores

      Vulnerabilidad en el análisis sintáctico de log4net
      Apache log4net versiones anteriores a 2.0.10 no deshabilite las entidades externas XML al analizar los archivos de configuración log4net. Esto permite ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante.

      Importante: Para aplicar esta corrección, actualice a la aplicación iManage Desktop de la versión 10.5 o posterior. Para evitar que los documentos pasen a ser de sólo lectura, asegúrese de que todos los documentos abiertos en la misma máquina estén cerrados y COMPROBADOS.

      CVE-2018-1285ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.47 y anterioresJavaScript document.flattenPages
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contenga JavaScript que puede conducir a la ejecución de código bajo el contexto de la aplicación.
      CVE-2021-21798ResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 9/17/2020
      Publicado originalmente: 9/1/2020

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.19 y anterioresDesbordamiento de enteros en el análisis sintáctico de flujos de objetos
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con una tabla de referencias cruzadas que puede provocar un error fuera de los límites que cause la corrupción de la memoria.
      CVE-2020-6113ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.22 y anterioresapp.launchURL Inyección de comandos de JavaScript
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contiene JavaScript que puede provocar la inyección de comandos.
      CVE-2020-25290ResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 9/1/2020
      Publicado originalmente: 9/1/2020

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      Nitro Pro v 13.22.0.414 y anterioresObjeto que falta en la entrada XRefTable - Utilizar después de libre
      Existe una vulnerabilidad al abrir un documento PDF malformado y especialmente diseñado que puede dar lugar a una condición de uso después de la liberación.
      CVE-2020-6115ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.22.0.414 y anterioresRenderizado de espacio de color indexado - Desbordamiento del búfer
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con un espacio de color indexado que puede provocar un desbordamiento de búfer que cause corrupción de memoria.
      CVE-2020-6116ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.22.0.414 y anterioresRenderizado ICCBased ColorSpace - Desbordamiento del búfer
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado con un espacio de color basado en ICC que puede provocar un desbordamiento de búfer que cause corrupción de memoria.
      CVE-2020-6146ResueltoActualícese a la última versión de Nitro Pro
      Nitro Pro v 13.22.0.414 y anterioresapp.launchURL Inyección de comandos de JavaScript
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que contiene JavaScript que puede provocar la inyección de comandos
      NingunoResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 8/2/2020
      Publicado originalmente: 8/2/2020

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución

      Nitro Pro v 12.16.3.574 y anteriores

      Nitro Sign no se ve afectado

      Firma digital "ataques en la sombra"
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado y firmado digitalmente que puede hacer que aparezca texto previamente oculto al alterar el documento después de firmarlo.
      Para activar esta vulnerabilidad, el objetivo debe abrir un documento malicioso preparado de antemano por un firmante de confianza.
      NingunoResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 5/8/2020
      Publicado originalmente: 5/8/2020

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVEEstadoSolución
      13.9.1.155 y anterioresTratamiento de errores JavaScript XML - Acceso de puntero no inicializado
      Existe una vulnerabilidad al abrir un documento PDF especialmente diseñado que puede provocar un acceso no inicializado a la memoria que resulte en una potencial revelación de información. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.
      CVE-2020-6093ResueltoActualícese a la última versión de Nitro Pro
      13.9.1.155 y anterioresPáginas anidadas PDF - Utilizar After Free
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado que puede dar lugar a un acceso de escritura fuera de los límites con el potencial de corromper la memoria. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.
      CVE-2020-6074ResueltoActualícese a la última versión de Nitro Pro
      13.13.2.242 y anterioresObjeto patrón PDF - Desbordamiento o envoltura de enteros
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado que puede dar lugar a un acceso de escritura fuera de los límites con el potencial de corromper la memoria. Para activar esta vulnerabilidad, el objetivo debe abrir un archivo malicioso.
      CVE-2020-6092ResueltoActualícese a la última versión de Nitro Pro
    • Última actualización: 3/9/2020
      Publicado originalmente: 3/9/2020

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      13.9 y anteriorCorrupción de Heap npdf.dlll
      Existe una vulnerabilidad al abrir un documento PDF malicioso
      especialmente diseñado que puede provocar una vulnerabilidad de corrupción de la pila
      con el potencial de exponer el contenido de la memoria.
      CVE-2020-10222
      13.9 y anteriorHeap Corruption JBIG2DecodeStream
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar una vulnerabilidad de corrupción de heap
      con el potencial de exponer el contenido de la memoria.
      CVE-2020-10223

      Solución

      Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      13.13.2.242Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Última actualización: 1/9/2020
      Publicado originalmente: 10/31/2019

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      13.6 y anteriorHeap Corruption JPEG2000 ssizDepth
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar la corrupción del heap
      y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
      no ha sido probada pero puede ser posible.
      CVE-2019-5045
      13.6 y anteriorHeap Corruption JPEG2000 yTsiz
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar la corrupción de la pila
      y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
      no ha sido probada pero puede ser posible.
      CVE-2019-5046
      13.6 y anteriorUse After Free CharProcs
      Existe una vulnerabilidad al abrir un documento PDF malicioso
      especialmente diseñado que puede provocar la condición use-after-free
      y el bloqueo de la aplicación.
      CVE-2019-5047
      13.6 y anteriorHeap Corruption ICCBased Color Space
      Existe una vulnerabilidad al abrir un documento PDF malicioso
      especialmente diseñado que puede provocar la corrupción del heap
      y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
      no ha sido probada pero puede ser posible.
      CVE-2019-5048
      13.6 y anteriorCorrupción de heap Page Kids
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar la corrupción de heap
      y el bloqueo de la aplicación. La ejecución arbitraria de código remoto
      no ha sido probada pero puede ser posible.
      CVE-2019-5050
      13.8 y anteriorUse After Free Stream Length
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado en
      que puede provocar la condición use-after-free
      y el bloqueo de la aplicación.
      CVE-2019-5053

      Solución

      Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      13.9.1.155Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Última actualización: 12/20/2019
      Publicado originalmente: 12/20/2019

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      12.0.0.112 y anteriorVulnerabilidad de lectura fuera de límites de JBIG2Decode
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar una vulnerabilidad de lectura fuera de límites
      y el bloqueo de la aplicación.
      CVE-2019-19817
      12.0.0.112 y anteriorVulnerabilidad de lectura fuera de límites de JBIG2Decode
      Existe una vulnerabilidad al abrir un documento PDF malicioso especialmente diseñado
      que puede provocar una vulnerabilidad de lectura fuera de límites
      y el bloqueo de la aplicación.
      CVE-2019-19818
      12.0.0.112 y anteriorJBIG2Globals Vulnerabilidad de deferencia de puntero nulo
      Existe una vulnerabilidad al abrir un documento PDF malicioso
      especialmente diseñado que puede provocar una vulnerabilidad de deferencia de puntero nulo
      y el bloqueo de la aplicación.
      CVE-2019-19819
      12.17.0.584 y anteriorArchivo temporal debug.log
      En determinadas condiciones (es decir, una versión de prueba caducada), un archivo temporal
      " debug.log" puede crearse en el directorio de trabajo de Nitro Pro
      . Este archivo debug.log puede ser manipulado después de
      la aplicación se cierra de la manera normal.
      CVE-2019-19858

      Solución

      Nitro recomienda a los clientes que hayan comprado a través de la tienda de comercio electrónico Nitro que actualicen su software a la última versión indicada a continuación. Los clientes con planes Team pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a los instaladores actualizados y a las instrucciones de despliegue. Los clientes de los planes Enterprise que tengan asignado un Gestor de Éxito del Cliente recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      13.8.2.140Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Última actualización: 10/18/2019
      Publicado originalmente: 10/18/2019

      Actualizar

      Nitro está trabajando activamente para solucionar varias vulnerabilidades potenciales publicadas recientemente. Al tener conocimiento de su existencia, evaluamos la exactitud de las reclamaciones, valoramos la gravedad y la probabilidad de cualquier explotación y (basándonos en nuestros procedimientos proactivos existentes de análisis y gestión de vulnerabilidades) colocamos las vulnerabilidades en nuestra cola de reparación.

      Nos estamos tomando en serio estas vulnerabilidades y las abordaremos en una próxima actualización. Para más información, puede ponerse en contacto con security@gonitro.com.

    • Última actualización: 11/17/2017
      Publicado originalmente: 11/17/2017

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      11.0.6 y anterior
      10.5.9.14 y anterior
      Existe una vulnerabilidad en la función Doc.SaveAs que
      podría ser explotada por un archivo PDF especialmente diseñado,
      llevando potencialmente a que una Escritura de Archivo tenga lugar fuera
      de la ruta prevista.
      CVE-2017-7442
      11.0.6 y anterior
      10.5.9.14 y anterior
      Existe una vulnerabilidad en la función Doc.SaveAs que
      podría ser aprovechada por un archivo PDF especialmente diseñado,
      lo que podría provocar el lanzamiento de una URL en
      junto con una alerta de seguridad.
      CVE-2017-7442

      Solución

      Nitro recomienda a los usuarios Personales (individuales) que actualicen su software a la última versión indicada a continuación. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a las actualizaciones de seguridad y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      11.0.8.470Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí
      10Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Última actualización: 9/27/2017
      Publicado originalmente: 9/27/2017

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      11.0.5.271 y anterior
      10.5.9.14 y anterior
      Una vulnerabilidad de escritura en memoria que potencialmente podría ser
      explotada al abrir un archivo PDF especialmente diseñado, con
      un campo Count específico, llevando a la corrupción de memoria y
      un fallo. 
      CVE pendiente
      11.0.5.271 y anterior
      10.5.9.14 y anterior
      Existe una vulnerabilidad "use-after-free" que podría explotarse potencialmente
      al abrir un archivo PDF especialmente diseñado
      que contenga una imagen JPEG2000 malformada, lo que provocaría la corrupción de la memoria
      y un bloqueo.
      CVE pendiente

      Solución

      Nitro recomienda a los usuarios Personales (individuales) que actualicen su software a la última versión indicada a continuación. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a las actualizaciones de seguridad y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      11.0.8.470Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí
      10Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Publicado originalmente: 7/21/2017

      Última actualización: 8/25/2017

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      11.0.3.173 y anterior
      10.5.9.14 y anterior
      Una vulnerabilidad de escritura en memoria fuera de los límites que podría
      explotarse potencialmente al abrir un archivo PDF
      especialmente diseñado, lo que provocaría la corrupción de la memoria y un bloqueo.
      CVE-2017-2796
      11.0.3.173 y anterior
      10.5.9.14 y anterior
      Una vulnerabilidad de desbordamiento de heap que potencialmente podría ser explotada por
      al abrir un archivo de imagen PCX
      especialmente diseñado, lo que provocaría la corrupción de la memoria y un fallo.
      CVE-2017-7950

      Solución

      Nitro recomienda a los usuarios personales (individuales) que actualicen su software a la última versión, que incluye correcciones para estas vulnerabilidades. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a la última versión y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      11.0.8.470Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí
      10Nitro no puede solucionar esta vulnerabilidad en Nitro Pro 13. Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Publicado originalmente: 2/3/2017

      Última actualización: 8/25/2017

      Actualizar

      Nitro ha lanzado una nueva versión de Nitro Pro, que resuelve posibles vulnerabilidades de seguridad.

      Versiones afectadasVulnerabilidadCVE
      11.0.3.134 y anterior
      10.5.9.9 y anterior
      Un archivo PDF especialmente diseñado puede causar potencialmente una corrupción de memoria en
      que provoque un fallo.
      CVE-2016-8709
      CVE-2016-8713
      11.0.3.134 y anterior
      10.5.9.9 y anterior
      Una posible vulnerabilidad de ejecución remota de código en la funcionalidad de análisis de PDF
      de Nitro Pro.
      CVE-2016-8711

      Solución

      Nitro recomienda a los usuarios personales (individuales) que actualicen su software a la última versión, que incluye correcciones para estas vulnerabilidades. Los clientes empresariales pueden ponerse en contacto con su gestor de cuenta Nitro para acceder a la última versión y a las instrucciones de despliegue. Los clientes de empresa con un gestor de éxito del cliente dedicado recibirán detalles de las versiones actualizadas que solucionen los problemas.

      Versión actualizadaDisponibilidad
      11.0.8.470Por favor, actualice a la última versión de Nitro Pro 11 disponible aquí
      10.5.9.14+Por favor, actualice a la última versión de Nitro Pro 13 disponible aquí

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Política de recompensas por fallos de Nitro Security Vulnerability &

      Política

      Nitro se enorgullece de haber requerido pocas Actualizaciones de Producto históricas por vulnerabilidades de seguridad. Mantener la información de los usuarios segura y protegida es una prioridad máxima y un valor fundamental de la empresa para nosotros en Nitro. Agradecemos la contribución de los investigadores de seguridad externos y esperamos premiarles por su inestimable contribución a la seguridad de todos los usuarios de Nitro.

      Recompensas

      Nitro ofrece recompensas por los informes de vulnerabilidad aceptados a su discreción. Nuestra recompensa mínima es una tarjeta regalo de $25 USD de Amazon. Los importes de las recompensas pueden variar en función de la gravedad de la vulnerabilidad notificada y de la calidad del informe. Tenga en cuenta que no se trata de un concurso ni de una competición. Nos reservamos el derecho a determinar la cuantía o incluso si debe concederse una recompensa.

      Aplicaciones en el ámbito

      Las aplicaciones Nitro Pro, Nitro Sign y Nitro Admin son elegibles para el programa de recompensas. Además, también son elegibles todas las aplicaciones de plataformas asociadas basadas en la nube (por ejemplo, Nitro File Actions). Aún así, podemos recompensar cualquier cosa que tenga un impacto significativo en toda nuestra postura de seguridad, por lo que le animamos a informar de tales vulnerabilidades a través de este programa.

      Informes sobre vulnerabilidad de la seguridad & Elegibilidad

      Todas las vulnerabilidades de seguridad de Nitro deben comunicarse por correo electrónico al equipo de seguridad de Nitro en security@gonitro.com. Para promover el descubrimiento y la notificación de vulnerabilidades y aumentar la seguridad de los usuarios, le pedimos que:

      • Comparta con nosotros el problema de seguridad en detalle, incluyendo el nombre de la aplicación, la versión/build afectada, pasos concisos para reproducir la vulnerabilidad que sean fácilmente comprensibles, información sobre el impacto real y potencial de la vulnerabilidad y detalles de cómo podría ser explotada;
      • Incluya un archivo de prueba de concepto;
      • Por favor, sea respetuoso con nuestras aplicaciones existentes. El envío de formularios spam a través de escáneres automáticos de vulnerabilidades no dará lugar a ninguna recompensa, ya que están explícitamente fuera del ámbito de aplicación;
      • Concédanos un tiempo razonable para responder al problema antes de hacer pública cualquier información al respecto;
      • No acceda ni modifique nuestros datos ni los de nuestros usuarios sin el permiso explícito del propietario. Interactúe únicamente con sus propias cuentas o con cuentas de prueba con fines de investigación de seguridad;
      • Póngase en contacto con nosotros inmediatamente si encuentra inadvertidamente datos de usuarios. No vea, altere, guarde, almacene, transfiera ni acceda de ningún otro modo a los datos, y purgue inmediatamente cualquier información local tras informar de la vulnerabilidad a Nitro;
      • Actuar de buena fe para evitar violaciones de la privacidad, destrucción de datos e interrupción o degradación de nuestros servicios (incluida la denegación de servicio); y
      • Por lo demás, cumpla todas las leyes aplicables.

      Sólo recompensamos al primer informador de una vulnerabilidad. La divulgación pública de la vulnerabilidad antes de su resolución puede anular una recompensa pendiente. Nos reservamos el derecho a descalificar a personas del programa por comportamiento irrespetuoso o perturbador.

      No negociaremos en respuesta a coacciones o amenazas (por ejemplo, no negociaremos el importe del pago bajo amenaza de retener la vulnerabilidad o amenaza de hacer pública la vulnerabilidad o cualquier dato expuesto).

      Proceso de vulnerabilidad de la seguridad:

      (1) Nitro acusará recibo y evaluará cualquier vulnerabilidad notificada de acuerdo con las instrucciones anteriores, normalmente en un plazo de 7 días.

      (2) Cuando se confirme una vulnerabilidad, Nitro llevará a cabo un análisis de riesgos utilizando el Sistema de puntuación de vulnerabilidades comunes (CVSS v3) y determinará la respuesta más adecuada para los clientes de Nitro.

      • Vulnerabilidades críticas de seguridad: Problemas en el software que, si no se solucionan, suponen un alto riesgo y probabilidad de acceso no autorizado, alteración o destrucción de la información del ordenador de un usuario o de los ordenadores conectados. Nitro resolverá las vulnerabilidades de seguridad críticas con una Actualización de Producto para la versión actual y anterior de Nitro Pro, y todos los servicios en la nube, de acuerdo con la Política de Puesta al Día de Actualizaciones de Producto & .
      • Vulnerabilidades de seguridad no críticas: Problemas dentro del software que, si no se solucionan, suponen un riesgo y una probabilidad de baja a moderada de acceso no autorizado, alteración o destrucción de la información en el ordenador de un usuario o en los ordenadores conectados. Nitro, a su discreción, resolverá las Vulnerabilidades de Seguridad No Críticas con una Actualización de Producto a la Versión Actual de Nitro Pro únicamente, y todos los servicios en la nube de acuerdo con la Política de Puesta al Día de Actualizaciones de Producto & .

      (3) Nitro diseñará, implementará & probará una solución para todas las Vulnerabilidades Críticas de Seguridad, y proporcionará una Actualización de Producto a los clientes, normalmente en 90 días.

      (4) Nitro divulgará públicamente todas las Vulnerabilidades Críticas de Seguridad, las versiones afectadas y los detalles relevantes de las Actualizaciones de Producto que solucionen los problemas, en esta página de Actualizaciones de Seguridad de Nitro. Nitro no reconoce públicamente a los investigadores de seguridad individuales por sus envíos.

      Vulnerabilidades de seguridad fuera del alcance

      Las siguientes cuestiones quedan fuera del ámbito de esta política & programa de recompensas:

      • Ataques que requieren acceso físico al dispositivo de un usuario.
      • Falta de cabeceras de seguridad que no conducen directamente a una vulnerabilidad.
      • Falta de buenas prácticas (exigimos pruebas de una vulnerabilidad de seguridad).
      • Uso de una biblioteca conocida como vulnerable (sin pruebas de explotabilidad).
      • Ingeniería social de empleados o contratistas de Nitro.
      • Informes de cifrados SSL/TLS inseguros (a menos que tenga una prueba de concepto que funcione, y no sólo un informe de un escáner).
      • Vulnerabilidades de suplantación de contenido e inyección de texto puro (en las que sólo se puede inyectar texto o una imagen en una página). Aceptaremos y resolveremos una vulnerabilidad de suplantación de identidad en la que el atacante pueda inyectar una imagen o texto enriquecido (HTML), pero no es elegible para una recompensa.
      • servicios Nitro a menos que pueda acceder a IP privadas o servidores Nitro.

      Consecuencias del cumplimiento de esta política

      No emprenderemos acciones civiles ni iniciaremos una denuncia ante las fuerzas del orden por violaciones accidentales y de buena fe de esta política. Consideramos que las actividades realizadas de acuerdo con esta política constituyen una conducta "autorizada" según la Ley de Fraude y Abuso Informático. En la medida en que sus actividades sean incompatibles con ciertas restricciones de nuestra Política de Uso Aceptable, renunciamos a dichas restricciones con el propósito limitado de permitir la investigación de seguridad bajo esta política. No presentaremos una reclamación DMCA contra usted por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito de aplicación.

      Si un tercero inicia acciones legales contra usted y usted ha cumplido con la Política de recompensas por fallos de vulnerabilidad de seguridad de Nitro &, Nitro tomará medidas para que se sepa que sus acciones se llevaron a cabo de conformidad con esta política.

      Le rogamos que nos lo comunique antes de incurrir en conductas que puedan ser incompatibles con esta política o no estén contempladas en ella.

      La letra pequeña

      Usted es responsable del pago de cualquier impuesto asociado a las recompensas. Podemos modificar las condiciones de este programa o ponerle fin en cualquier momento. No aplicaremos con carácter retroactivo ningún cambio que hagamos en estas condiciones del programa. Las denuncias de personas a las que la ley nos prohíbe pagar no pueden optar a las recompensas. Los empleados de Nitro y sus familiares no pueden optar a ninguna recompensa.

      Con el fin de fomentar la adopción de programas de recompensas por fallos y promover las mejores prácticas de seguridad uniformes en toda la industria, Nitro no se reserva ningún derecho sobre esta política de recompensas por fallos, por lo que usted es libre de copiarla y modificarla para sus propios fines.

      Para más información, póngase en contacto con el equipo de seguridad de Nitro en security@gonitro.com

    • Actualización sobre incidentes de seguridad

      El 30 de 2020 de septiembre, Nitro tuvo conocimiento de un incidente de seguridad aislado que implicaba el acceso limitado a las bases de datos de Nitro por parte de un tercero no autorizado.

      Tras conocer este incidente, Nitro tomó medidas inmediatas para garantizar la seguridad de su entorno e inició una investigación con el apoyo de expertos líderes en ciberseguridad y forenses. La investigación ya ha concluido y Nitro puede facilitarle más detalles:

      • El incidente afectó al acceso a bases de datos específicas de Nitro, que dan soporte a determinados servicios en línea y se han utilizado principalmente para el almacenamiento de información relacionada con los productos gratuitos en línea de Nitro.
      • El servicio gratuito de conversión en línea de Nitro no requiere que los usuarios creen una cuenta Nitro ni que se conviertan en clientes de Nitro. Los usuarios sólo tienen que proporcionar una dirección de correo electrónico a la que se envían los archivos convertidos.
      • No se ha producido ningún impacto en Nitro Pro ni en Nitro Analytics.
      • Los datos de usuario expuestos incluían direcciones de correo electrónico de usuarios, nombres completos, contraseñas cifradas y saladas de alta seguridad, así como metadatos de documentos en relación con los servicios en línea de Nitro. Una parte muy pequeña de la información incluía nombres de empresas, títulos y direcciones IP.
      • Las contraseñas no se vieron afectadas para los usuarios que acceden a nuestros servicios en la nube a través del inicio de sesión único (SSO).
      • La investigación identificó además una actividad limitada por parte del tercero no autorizado en una ubicación de servicios en la nube heredada, que afectó a menos del 0.0073% de los datos almacenados en esta ubicación. La actividad sugiere que el tercero no autorizado se centró específicamente en obtener datos relacionados con la criptomoneda.

      Tras conocer este incidente, Nitro llevó a cabo un restablecimiento forzoso de las contraseñas de todos los usuarios para proteger aún más las cuentas de los clientes. Además de esto, entre las orientaciones generales para mantener una buena higiene cibernética se incluyen:

      • Cambiar las contraseñas de las cuentas en línea con regularidad, usar una contraseña distinta para la banca en línea y utilizar un gestor de contraseñas para recordar varias contraseñas.
      • No envíe nunca por correo electrónico las contraseñas de las cuentas en línea y confirme si éstas son seguras visitandohttps://haveibeenpwned.com/.
      • Habilitar la autenticación multifactor para las cuentas en línea siempre que sea posible y asegurarse de que se instala un software antivirus actualizado en cualquier dispositivo utilizado para acceder a las cuentas en línea.

      Desde que se produjo el incidente, el equipo de seguridad informática de Nitro ha estado trabajando estrechamente con expertos externos en ciberseguridad para reforzar la seguridad de todos los sistemas, incluyendo la mejora de los servicios de registro, detección y alerta en todas las regiones, así como el aumento de la supervisión de los datos y la reevaluación de todos los protocolos. El entorno informático sigue siendo seguro y Nitro no ha visto ninguna actividad maliciosa desde el incidente.

      En Nitro nos tomamos muy en serio la seguridad de los datos de nuestros clientes, y estamos aquí para ayudarles en todo lo que pueda serles útil. Animamos a cualquier persona que tenga preguntas a que se ponga en contacto conincident@gonitro.com.