Si encuentras una vulnerabilidad de seguridad en tasa-bcv-api, no abras un issue público.
En su lugar:
- Usa la función Report a vulnerability de GitHub Security Advisories.
- Describe el problema, los pasos para reproducirlo, y el impacto que ves.
- Te responderemos dentro de 72 horas.
- Cualquier vector que permita acceso no autorizado al endpoint
POST /v1/admin/*. - Cualquier inyección que afecte la DB (SQL injection, etc.).
- Cualquier vector de DoS más severo que pasar el rate limit estándar.
- Cualquier exposición no intencionada del
ADMIN_TOKEN, credenciales de DB, o datos privados. - Cualquier configuración del Dockerfile o deploy que permita escalada de privilegios.
- El sitio del BCV tiene un certificado SSL inválido (es un hecho del sitio fuente, no nuestro).
- La API es de lectura pública sin auth — no es un bug, es el diseño.
- Rate limiting es por IP — IPs compartidas pueden afectarse entre sí. Está documentado.
Solo la última versión publicada. Si encuentras una vulnerabilidad en una versión anterior, intenta reproducirla en main primero.