Eh, tú,
Estar en el saber!

35,000 infecciones ransomware por mes y todavía se cree que están protegidos?

Regístrese para recibir:

  • alertas
  • Noticias
  • libre de la forma de quitar las guías

de las nuevas amenazas en línea - directamente a su bandeja de entrada:


WordPress Programa Bounty Bug Interesado en XSS, RCE, Los defectos de SQL

WordPress es una de las plataformas que a menudo caen víctimas de ataques maliciosos. Afortunadamente, la compañía ha decidido unirse la iniciativa de recompensas de errores, ahora abrazado por múltiples organizaciones en su intento de hacer frente a los delitos informáticos. Los investigadores de seguridad que se encuentran con especial vulnerabilidad en WordPress se otorgarán.


WordPress programa de recompensas de errores en los detalles

Insectos deben ser marcados en las siguientes categorías:

  • WordPress (sistema de gestión de contenidos)
  • BuddyPress (conjunto de plugins de redes sociales)
  • bbPress (software del foro)
  • GlotPress (herramienta de traducción colaborativa)
  • WP-CLI (interfaz de línea de comandos para WordPress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, y api.wordpress.org. En una palabra, todos * .WordPress.org están incluidos en el programa de recompensas de errores, así.

El equipo de seguridad detrás del programa de recompensas de errores de WordPress está interesado en:

  • Cross Site Scripting (XSS)
  • Cross Site Request Falsificación (CSRF)
  • Solicitud del Servidor lateral Falsificación (FRSS)
  • Ejecución remota de código (RCE)
  • Inyección SQL (Sqlık)

Los investigadores que planean participar en el programa deben atenerse a unas reglas simples, tales como:

  • Todos los detalles de la vulnerabilidad, como la información necesaria para reproducir y validar la vulnerabilidad y una prueba de concepto;
  • Evitar violaciónes de privacidad, destrucción y modificación de datos en sitios en vivo;
  • WordPress dará una cantidad razonable de tiempo para corregir el defecto antes de hacerlo público.

Por otra parte, fallas encontradas en plugins de WordPress no se tolerarán, así como los informes sobre los blogs de WordPress hackeado, divulgación de los ID de los usuarios, abiertos los puntos finales de API que sirven de datos pública, número de versión de WordPress divulgación, fuerza bruta, DDoS, phishing, la inyección de texto, y una serie de otras cuestiones similares. Vulnerabilidades con un CVSS 3 puntuación inferior a 4.0 no será tolerado demasiado, a menos que puedan ser combinados con otras deficiencias que para lograr una mayor puntuación, el equipo de WordPress de recompensas de errores explica.


A principios de este año, WordPress parcheado tres principales vulnerabilidades de seguridad. Las fallas podrían permitir cross-site scripting y las inyecciones SQL, y una serie de otros problemas posteriores. Las correcciones de versiones de WordPress afectadas 4.7.1 y anterior.

Más tarde se supo que, aparte de los problemas de seguridad que acabamos de mencionar la plataforma fija una vulnerabilidad peligrosa y secreta de día cero que le permita un acceso remoto y en la eliminación de páginas en WordPress. La razón por la que no anunciaron públicamente el día cero es que no quieren atraer a los piratas informáticos en su explotación.

El error permitido todas las páginas de los sitios web vulnerables a ser modificado. También, visitantes podrían haber sido redirigidos a sitios maliciosos que conducen a más complicaciones relacionadas con la seguridad. WordPress pospuso el anuncio público durante una semana y ahora está instando a todos los involucrados para actualizar.

Milena Dimitrova

Un escritor inspirado, centrado en la privacidad del usuario y el software malicioso. Disfruta de 'Sr.. Robot "y miedos '1984'.

Más Mensajes - Sitio web

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...
Por favor espera...

Suscríbete a nuestro boletín

¿Quieres recibir un aviso cuando se publique nuestro artículo? Introduzca su dirección de correo electrónico y nombre para ser el primero en saber.