WPScan, une société de sécurité qui maintient une base de données de vulnérabilités WordPress, a été officiellement désignée comme autorité de numérotation CVE (Common Vulnerability and Exposures) (CNA). L’entreprise rejoint 151 organisations de 25 pays qui participent à la Programme CVE comme CNA. Ces organisations sont autorisées à attribuer Identificateurs CVE (ID CVE) aux vulnérabilités dans leurs propres domaines de travail distincts, contribuant aux liste des enregistrements des vulnérabilités de sécurité publiquement connues.

La portée de WPScan comprend les vulnérabilités du cœur, du plugin et du thème de WordPress. La société a catalogué plus de 21905 vulnérabilités depuis 2014 dans sa base de données, qu’elle met à disposition de la communauté via une API. Cette API est également utilisée par le Scanner de sécurité WPScan plugin, qui est installé sur plus de 5000 sites Web.

Être désigné comme CNA aide WPScan à mieux gérer les vulnérabilités de WordPress en leur attribuant des identifiants uniques reconnus dans le secteur.

«Demander à MITRE d’attribuer des CVE à chacune de nos vulnérabilités aurait pris trop de temps dans le passé», a déclaré Ryan Dewhurst, fondateur et PDG de WPScan. «Bien que certains chercheurs en sécurité passent par ce processus directement avec MITRE, nous ne l’avons pas fait en raison du volume de vulnérabilités que nous devons gérer. Et les chercheurs en sécurité ne les ont demandés eux-mêmes que très rarement. Le nouveau processus signifie que nous pouvons nous-mêmes attribuer des numéros CVE directement aux vulnérabilités. Cela entraînera l’attribution de numéros CVE à de nombreuses autres vulnérabilités liées à WordPress. »

WPScan est une équipe de trois chercheurs en sécurité issus des tests d’intrusion et ayant travaillé dans le conseil en sécurité au cours des 10 à 15 dernières années. La société a commencé avec un simple script Ruby en 2011, qui a identifié des vulnérabilités dans les sites WordPress auto-hébergés. Au cours des deux dernières années, Automattic a parrainé les efforts de l’entreprise pour maintenir la base de données, car WPScan est devenu une entreprise durable en vendant l’accès à son API.

Dewhurst a déclaré que les clients de la société incluent «certains des plus grands plugins de sécurité et sociétés d’hébergement au monde», mais beaucoup d’entre eux n’annoncent pas le fait qu’ils utilisent un tiers pour trouver les vulnérabilités. La plupart des entreprises clientes de WPScan sont des plug-ins de sécurité, des sociétés et des hôtes qui intègrent les données de la base de données de vulnérabilité dans leurs propres produits et services.

«Notre entreprise se porte bien», dit-il. «À l’heure actuelle, nous essayons de trouver le bon équilibre entre être une entreprise et gagner de l’argent, tout en bénéficiant autant que possible à la communauté.»


Source link