OmniControl — Vulnerability Tracker(GitHub Issues con etiqueta 'security')
carlos.gutierrez
Vulnerability Management › Backlog

Vulnerability tracker

Sistema de gestión de vulnerabilidades técnicas — A.8.8 ISO 27002:2022

No hay proceso formal de gestión de vulnerabilidades

Los tickets viven en GitHub Issues con etiquetas informales. 7 hallazgos llevan más de 90 días abiertos (el más antiguo: 412 días), 7 sin asignación, sin SLA definido, sin proceso de excepciones formalizado y 0 reportes generados al Comité SGSI en los últimos 12 meses.

Total tickets
9
con etiqueta 'security'
Open
7
7 sin asignar
In progress
1
Exceptions
1
aceptadas informalmente
Más antiguo
412d
sin actualizar
9 issuesSort: oldest first
low
GH-298Versión obsoleta de jQuery 3.5.1 en frontend admin legacy
admin-legacy/package-lock.jsonSCA/DependabotCVSS: 4.3412 días (OVERDUE)sin asignar
Open
high
GH-485lodash@4.17.20 — Prototype pollution (CVE-2021-23337)
package-lock.jsonSCA/DependabotCVSS: 7.2387 días (OVERDUE)sin asignar
Open
high
GH-481axios@0.21.1 — SSRF vulnerability (CVE-2021-3749)
package-lock.jsonSCA/DependabotCVSS: 7.5372 días (OVERDUE)sin asignar
Open
critical
GH-487BOLA en /api/conductores/{id} (no valida tenant_id)
omnicontrol-erp / src/api/conductores.tsPentest187 días (OVERDUE)sin asignar
Open
high
GH-486SQL Injection en parámetro 'search' (motor BD revelado)
omnicontrol-erp / src/api/search.tsDAST187 días (OVERDUE)sin asignar
Open
high
GH-478Stored XSS en campo nombre_completo de conductor
omnicontrol-erp / src/api/conductores.tsDAST187 días carlos.gutierrez
In progress
medium
GH-456Cookies sin atributo SameSite (DAST)
omnicontrol-erp / src/middleware/session.tsDAST187 días (OVERDUE)sin asignar
Open
medium
GH-389X-Powered-By header expone Express
omnicontrol-erp / src/server.tsDAST187 días sin asignar
Excepción aceptada: Aceptado por carlos.gutierrez en comentario del issue. Sin formato formal.⚠ Sin fecha de reevaluación definida
Exception
low
GH-189Sesión sin timeout (JWT 7 días, sin revocación)
omnicontrol-erp / src/auth/jwt.tsPentest187 días (OVERDUE)sin asignar
Open

Estado del proceso (A.8.8 ISO 27002:2022)

Política formal de gestión de vulnerabilidadesNo existe
SLA por severidad
criticalNo definido (recomendado: 72h)
highNo definido (recomendado: 7 días)
mediumNo definido (recomendado: 30 días)
lowNo definido (recomendado: 90 días)
Proceso de excepciones (riesgo aceptado)Informal (comentarios en issues)
Frecuencia de reporting al Comité SGSINo se generan reportes
Reportes generados últimos 12 meses0