Chez Wordfence, notre mission est de sécuriser le Web. WordPress alimente plus de 40 % du Web et Wordfence sécurise plus de 4 millions de sites Web WordPress. Aujourd’hui, nous annonçons qu’au cours des 20 prochains jours, Wordfence versera des primes de bugs parmi les plus élevées de l’histoire de WordPress pour aider à trouver des vulnérabilités dans les logiciels WordPress qui pourraient mettre les utilisateurs en danger.

Pour rappel, nous republiez ces vulnérabilités gratuitement et sans frais pour que les fournisseurs, les chercheurs et toute autre personne intéressée puissent les utiliser, afin de contribuer à sécuriser la communauté WordPress.. Cela inclut gratuitement accès programmatique via notre API. Il comprend également l’utilisation gratuite des données pour analyser en masse les serveurs WordPress à la recherche de vulnérabilités via CLI Wordfencequi inclut une analyse des vulnérabilités entièrement gratuite et sans limitation.

En d’autres termes, Wordfence est sur le point de débourser une grosse somme d’argent pour transformer WordPress en une plateforme beaucoup plus sécurisée, et nous allons offrir toutes ces recherches gratuitement. Nous espérons verser au moins 100 000 $ aux chercheurs en vulnérabilités dans les 20 prochains jours, et nous aimerions que vous nous aidiez à atteindre cet objectif. Trouvons les très mauvaises choses que personne ne connaît encore et verrouillons WordPress pour commencer 2024 du bon pied !

Voici les détails:

C'est la saison du don, et chez Wordfence, notre objectif est de donner ! C'est pourquoi nous avons décidé d'organiser une Holiday Bug Extravaganza d'aujourd'hui jusqu'au 20 décembre 2023. Tous les chercheurs gagnera 6,25 fois nos taux de récompense de prime normaux pour toutes les vulnérabilités éligibles soumises dans le cadre du programme Wordfence Bug Bounty. Cela signifie que les chercheurs peut gagner jusqu'à 10 000 $ pour des vulnérabilités individuelles nous a été signalé dans le logiciel WordPress qui entre dans le cadre de notre programme.


Commencez par vous inscrire en tant que chercheur et soumettez une vulnérabilité dès aujourd'hui !

S'inscrire en tant que chercheur Soumettre une vulnérabilité


Veuillez noter que nous avons une exigence supplémentaire pour cette extravagance : Compte tenu des paiements élevés, nous exigeons que Wordfence gère le processus de divulgation responsable des vulnérabilités soumises lors de l'extravagance, au lieu que le chercheur n'interagisse directement avec le fournisseur. La plupart des chercheurs préfèrent cette approche et nous demandent de gérer la divulgation responsable, car le fait de contacter Wordfence a tendance à obtenir une réponse plus rapide. Nous en avons fait une exigence pour l'extravagance afin de pouvoir travailler directement avec les fournisseurs pour valider les vulnérabilités. Il n’y aura aucun retard dans la divulgation ni dans l’ajout de vulnérabilités à notre base de données, si la charge de travail le permet.

Exemples de récompenses Bounty que vous pouvez gagner avec le bonus Holiday Extravaganza actuel :

  • 1 600 $ 10 000 $ pour un Non authentifié Exécution de code à distance, téléchargement de fichiers arbitraire, élévation de privilèges vers l'administrateur, mise à jour des options arbitraires ou contournement d'authentification vers l'administrateur dans un plugin/thème avec plus de 1 000 000 d'installations.
    • 1 200 $ 7 500 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 600 $ 3 750 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 400 $ 2 625 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis).
  • 800 $ 5 000 $ pour un Non authentifié Injection SQL ou fichier local à inclure dans un plugin/thème avec plus de 1 000 000 d’installations.
    • 600 $ 3 650 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 300 $ 1 875 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 200 $ 1 250 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis).
  • 320 $ 2 000 $ pour un Non authentifié Scripts intersites stockés, autorisation manquante, injection d'objet PHP (sans gadget utilisable), divulgation d'informations ou vulnérabilité de falsification de requête côté serveur dans un plugin/thème avec plus de 1 000 000 d'installations
    • 240 $ 1 500 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 120 $ 750 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 80 $ 500 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis).
  • 80 $ 500 $ pour une vulnérabilité de Reflected Cross-Site Scripting ou de Cross-Site Request Forgery dans un plugin/thème avec plus de 1 000 000 d'installations
    • 60 $ 375 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 30 $ 187,50 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 20 $ 125 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • Toutes les récompenses de prime sont basées sur un composant d'interaction utilisateur requis et aucune authentification, et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire un paramètre non par défaut requis)

Comment participer à l'extravagance Wordfence Holiday Bug :

  1. Consultez notre Calendrier de paiement des récompenses iciavec nos termes et conditions.
  2. S'inscrire comme chercheur. Veuillez noter que tous les profils sont modérés dans un délai de 72 heures (généralement beaucoup plus rapide), mais vous pouvez soumettre votre première vulnérabilité en attendant l'approbation du profil.
  3. Soumettez votre vulnérabilité en utilisant le formulaire de soumission de vulnérabilité lorsque vous êtes prêt.
  4. Détendez-vous et savourez une tasse de chocolat chaud à la menthe poivrée (ou une boisson de votre choix) ☕, pendant que l'équipe Wordfence valide le rapport, vous attribue une prime et travaille avec le développeur pour s'assurer qu'il soit corrigé.

S'il vous plaît, partagez et transmettez ceci à vos amis afin que tout le monde puisse profiter de cette incroyable extravagance !


Source link