Chez Wordfence, notre mission est de sécuriser le Web. WordPress alimente plus de 40 % du Web et Wordfence sécurise plus de 4 millions de sites Web WordPress. Notre dernière extravagance, la Holiday Bug Extravaganza, a connu un tel succès que nous avons décidé de recommencer pour bien démarrer la nouvelle année. Présentation de notre extravagance des insectes du Nouvel An ! Jusqu'au 29 février 2024, tous les chercheurs gagneront un multiplicateur de 6,25x sur toutes nos primes attribuées. faire la meilleure prime grâce à notre programme Bug Bounty 10 000 $.

C'est 37 jours pour trouver les vulnérabilités les plus importantes et les plus malveillantes de WordPress et récolter les plus grandes récompenses de l’histoire des plugins et des thèmes WordPress.

Si vous avez raté la dernière extravagance, c’est votre chance de contribuer à faire de WordPress un écosystème plus sûr ! Pour rappel, nous republiez ces vulnérabilités gratuitement et sans frais pour que les fournisseurs, les chercheurs et toute autre personne intéressée puissent les utiliser, afin de contribuer à sécuriser la communauté WordPress.. Cela inclut gratuitement accès programmatique via notre API. Il comprend également l’utilisation gratuite des données pour analyser en masse les serveurs WordPress à la recherche de vulnérabilités via CLI Wordfencequi inclut une analyse des vulnérabilités entièrement gratuite et sans limitation.


Commencez par vous inscrire en tant que chercheur et soumettez une vulnérabilité dès aujourd'hui !

INSCRIVEZ-VOUS COMME CHERCHEUR SOUMETTRE LA VULNÉRABILITÉ

Nous venons également de lancer une communauté Discord pour les chercheurs en sécurité participant à notre programme Bug Bounty ! Si vous êtes un chercheur souhaitant collaborer et discuter avec d'autres membres de la communauté, rejoignez notre Discord dès aujourd'hui !

REJOIGNEZ LE DISCORD BBP WORDFENCE


Veuillez noter que nous avons une exigence supplémentaire pour cette extravagance : Compte tenu des paiements élevés, nous exigeons que Wordfence gère le processus de divulgation responsable des vulnérabilités soumises lors de l'extravagance, au lieu que le chercheur n'interagisse directement avec le fournisseur. La plupart des chercheurs préfèrent cette approche et nous demandent de gérer la divulgation responsable, car le fait de contacter Wordfence a tendance à obtenir une réponse plus rapide. Nous en avons fait une exigence pour l'extravagance afin de pouvoir travailler directement avec les fournisseurs pour valider les vulnérabilités. Il n’y aura aucun retard dans la divulgation ni dans l’ajout de vulnérabilités à notre base de données, si la charge de travail le permet.

Exemples de récompenses de primes que vous pouvez gagner avec le multiplicateur actuel de Bug Extravaganza du Nouvel An :

  • 1 600 $ 10 000 $ pour un Non authentifié Exécution de code à distance, téléchargement de fichiers arbitraire, élévation de privilèges vers l'administrateur, mise à jour des options arbitraires ou contournement d'authentification vers l'administrateur dans un plugin/thème avec plus de 1 000 000 d'installations.
    • 1 200 $ 7 500 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 600 $ 3 750 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 400 $ 2 625 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • 200 $ 1 250 $ si le plugin/thème se situe dans la plage de 1 000 à 49 999 comptes d'installations actives **
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis). Veuillez noter que les vulnérabilités telles que le Cross-Site Scripting ou la divulgation d'informations sensibles qui peuvent conduire à une exploitation à fort impact n'entrent pas dans cette catégorie. Toutes les primes sont attribuées en fonction de l'impact sur les racines.
  • 800 $ 5 000 $ pour un Non authentifié Injection SQL ou fichier local à inclure dans un plugin/thème avec plus de 1 000 000 d’installations.
    • 600 $ 3 650 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 300 $ 1 875 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 200 $ 1 250 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • 100 $ 625 $ si le plugin/thème se situe dans la plage de 1 000 à 49 999 comptes d'installations actives **
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis).
  • 320 $ 2 000 $ pour un Non authentifié Scripts intersites stockés, autorisation manquante, injection d'objet PHP (sans gadget utilisable), divulgation d'informations sensibles ou vulnérabilité de falsification de requête côté serveur dans un plugin/thème avec plus de 1 000 000 d'installations
    • 240 $ 1 500 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 120 $ 750 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 80 $ 500 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • 40 $ 250 $ si le plugin/thème se situe dans la plage de 1 000 à 49 999 comptes d'installations actives **
    • Toutes les récompenses de prime diminuent à mesure que les exigences d'authentification augmentent et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire qu'un paramètre non par défaut est requis).
  • 80 $ 500 $ pour une vulnérabilité de Reflected Cross-Site Scripting, de Cross-Site Request Forgery ou de Basic Information Disclosure dans un plugin/thème avec plus de 1 000 000 d'installations
    • 60 $ 375 $ si le plugin/thème se situe dans la plage de 500 000 à 999 999 comptes d'installations actives
    • 30 $ 187,50 $ si le plugin/thème se situe dans la plage de 100 000 à 499 999 comptes d'installations actives
    • 20 $ 125 $ si le plugin/thème se situe dans la plage de 50 000 à 99 999 comptes d'installations actives
    • 10 $ 62,50 $ si le plugin/thème se situe dans la plage de 1 000 à 49 999 comptes d'installations actives **
    • Toutes les récompenses de prime sont basées sur un composant d'interaction utilisateur requis et aucune authentification, et peuvent diminuer si la vulnérabilité est très complexe à exploiter ou si l'impact est limité (c'est-à-dire un paramètre non par défaut requis)

**1337 Chercheurs uniquement.

Comment participer à l'extravagance des bogues du Nouvel An de Wordfence :

  1. Consultez notre Calendrier de paiement des récompenses iciavec nos termes et conditions.
  2. S'inscrire comme chercheur. Veuillez noter que tous les profils sont modérés dans un délai de 72 heures (généralement beaucoup plus rapide), mais vous pouvez soumettre votre première vulnérabilité en attendant l'approbation du profil.
  3. Soumettez votre vulnérabilité en utilisant le formulaire de soumission de vulnérabilité lorsque vous êtes prêt.
  4. Détendez-vous pendant que l'équipe Wordfence valide le rapport, vous attribue une prime et travaille avec le développeur pour garantir qu'il soit corrigé.

S'il vous plaît, partagez et transmettez ceci à vos amis afin que tout le monde puisse profiter de cette incroyable extravagance !


Source link