Aujourd’hui, nous sommes ravis d’annoncer que Wordfence est autorisé par le programme Common Vulnerabilities and Exposures (CVE®) en tant que CNA ou CVE Numbering Authority. En tant que CNA, Wordfence peut désormais attribuer des identifiants CVE pour les nouvelles vulnérabilités dans WordPress Core, les plugins WordPress et les thèmes WordPress.
WordPress alimente plus de 40% du World Wide Web en 2021. En devenant un CNA, Wordfence étend notre capacité à élever et accélérer la recherche sur la sécurité WordPress. Cela renforce notre objectif d’aider à protéger la communauté des propriétaires et développeurs de sites WordPress, ainsi que les millions d’utilisateurs de sites Web qui accèdent à WordPress chaque jour.
Qu’est-ce qu’un CNA ?
L’acronyme CNA signifie CVE Numbering Authority. Une CNA est une organisation qui a le pouvoir d’attribuer des ID CVE aux vulnérabilités pour une portée définie. En tant que CNA, Wordfence peut attribuer des identifiants CVE aux plugins, thèmes et vulnérabilités de base WordPress.
Qu’est-ce qu’un CVE ?
CVE est un effort international et communautaire et s’appuie sur la communauté pour découvrir les vulnérabilités. Les vulnérabilités sont découvertes puis attribuées et publiées dans la liste CVE. La mission du programme Common Vulnerabilities and Exposures (CVE®) est d’identifier, de définir et de cataloguer les vulnérabilités de cybersécurité divulguées publiquement. Il existe un enregistrement CVE pour chaque vulnérabilité dans le catalogue.
Qu’est-ce que cela signifie pour les clients de Wordfence ?
Alors que l’équipe Wordfence Threat Intelligence continue de produire des recherches de sécurité WordPress révolutionnaires, Wordfence peut attribuer plus efficacement des identifiants CVE avant de divulguer publiquement les vulnérabilités découvertes par notre équipe. Cela signifie qu’un ID CVE sera immédiatement attribué à chaque vulnérabilité que nous découvrons plutôt que d’attendre une attribution d’un CNA externe.
Pour signaler une vulnérabilité, même s’il existe une incertitude quant au processus de divulgation responsable, à la production de preuves de concept ou aux procédures d’examen des mesures d’atténuation, l’équipe Wordfence Threat Intelligence est disponible pour vous aider. Notre équipe hautement qualifiée possède une expertise et une expérience dans la divulgation appropriée de la sécurité et peut aider à garantir qu’une correction adéquate des vulnérabilités, quelle que soit la gravité, est appliquée et vérifiée. En tant que chercheur d’origine, vous recevez l’ID CVE et le crédit public pour votre découverte. Vous recevrez également des remerciements de la part des utilisateurs et de la communauté que vous avez protégés par votre divulgation responsable. Veuillez nous contacter et nous serons heureux de vous aider.
Comment signaler les vulnérabilités à Wordfence pour l’attribution et la publication de CVE ?
Pour signaler une vulnérabilité à Wordfence pour un plugin WordPress, un thème WordPress ou un noyau WordPress, veuillez contacter security@wordfence.com avec les informations de vulnérabilité. Veuillez inclure les détails suivants :
- Une description concise de la vulnérabilité.
- Une preuve de concept, c’est-à-dire comment la vulnérabilité pourrait être exploitée.
- Quel composant logiciel dans notre champ d’application est affecté – à savoir, quel plugin ou thème est affecté, ou quelle partie du noyau WordPress.
- Le(s) numéro(s) de version concerné(s).
- Le(s) nom(s) des personnes que vous voudriez créditer pour la découverte – ou indiquez si vous souhaitez rester anonyme.
- Toute autre information supplémentaire le cas échéant.
L’équipe de Wordfence Threat Intelligence examinera vos conclusions et vous en rendra compte dans un délai de 1 à 3 jours ouvrables avec une attribution d’ID CVE ou une demande d’informations supplémentaires.
L’engagement et la sensibilisation de la communauté chez Wordfence ont contribué à accélérer nos efforts pour sécuriser la communauté WordPress mondiale. Devenir CNA a aidé à atteindre cet objectif. Notre équipe est impatiente d’accélérer nos propres recherches et d’aider à encourager et à permettre à de nouveaux chercheurs de rejoindre la communauté croissante de personnes qui découvrent et divulguent de manière responsable les vulnérabilités de WordPress. Ensemble, nous pouvons travailler à un Web plus sûr pour tous.
Source link