O WordPress é uma das plataformas que frequentemente são vítimas de ataques maliciosos. Felizmente, a empresa decidiu Junte-se a iniciativa bug de recompensas, agora adotado por várias organizações na tentativa de enfrentar o cibercrime. Pesquisadores de segurança que encontrarem vulnerabilidades específicas no WordPress serão premiados.
Programa de recompensas de bugs do WordPress em detalhes
Os bugs devem ser sinalizados nas seguintes categorias:
- WordPress (sistema de gerenciamento de conteúdo)
- BuddyPress (pacote de plugins de redes sociais)
- bbPress (software de fórum)
- GlotPress (ferramenta de tradução colaborativa)
- WP-CLI (interface de linha de comando para WordPress)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, e api.wordpress.org. Em poucas palavras, todos os *.WordPress.org também estão incluídos no programa de recompensas de bugs.
A equipe de segurança por trás do programa de recompensas de bugs do WordPress está interessada em:
- Script entre sites (XSS)
- Falsificação de solicitação entre sites (CSRF)
- Falsificação de solicitação do lado do servidor (SSRF)
- Execução Remota de Código (RCE)
- Injeção SQL (SQLi)
Os pesquisadores que planejam participar do programa devem seguir algumas regras simples, como:
- Fornecendo detalhes da vulnerabilidade, como informações necessárias para reproduzir e validar a vulnerabilidade e uma Prova de Conceito;
- Evite violações de privacidade, destruição e modificação de dados em sites ativos;
- Dê ao WordPress um tempo razoável para corrigir a falha antes de ir a público.
Por outro lado, falhas encontradas nos plugins do WordPress não serão toleradas, bem como relatórios sobre blogs hackeados do WordPress, divulgação de IDs de usuários, endpoints de API abertos que atendem a dados públicos, Divulgação do número da versão do WordPress, força bruta, DDoS, phishing, injeção de texto, e vários outros problemas semelhantes. Vulnerabilidades com um CVSS 3 pontuação inferior a 4.0 também não será tolerado, a menos que possam ser combinados com outras falhas para obter uma pontuação mais alta, a equipe de recompensas de bugs do WordPress explica.
No início deste ano, WordPress remendado três principais vulnerabilidades de segurança. As falhas podem permitir scripts entre sites e injeções de SQL, e uma série de outras questões subsequentes. As correções afetaram as versões do WordPress 4.7.1 e anteriores.
Mais tarde, soube-se que, além dos problemas de segurança mencionados, a plataforma corrigiu uma vulnerabilidade de dia zero perigosa e então secreta que poderia levar ao acesso remoto e à exclusão de páginas do WordPress. A razão pela qual eles não anunciaram publicamente o dia zero é que eles não queriam atrair hackers para explorá-lo.
O bug permitiu que todas as páginas em sites vulneráveis fossem modificadas. Além disso, os visitantes poderiam ter sido redirecionados para sites maliciosos, levando a mais complicações relacionadas à segurança. O WordPress adiou o anúncio público por uma semana e agora está pedindo a todos os envolvidos que atualizem.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: