Hace dos semanas informé sobre una vulnerabilidad a una lista de correo de seguridad de una gran organización de software de código abierto. Proporcioné detalles sobre cómo reproducir el problema y el lugar exacto en el código donde se encuentra el error que causa la vulnerabilidad. Hasta ahora no he recibido ninguna respuesta al respecto. También escribí a uno de los principales desarrolladores preguntándole si se le había informado sobre el problema. Hasta ahora tampoco hubo respuesta por parte de él.
El componente del que se trata la vulnerabilidad no se ha lanzado desde hace años, aunque todavía se está desarrollando algo y todavía se usa ampliamente.
¿Es normal que la retroalimentación demore tanto? ¿Qué debo hacer al respecto?