Wordfence é agora uma autoridade de numeração CVE (CNA)

Hoje, temos o prazer de anunciar que o Wordfence foi autorizado pelo programa Common Vulnerabilities and Exposures (CVE®) como um CNA, ou Autoridade de Numeração CVE. Como um CNA, o Wordfence agora pode atribuir IDs CVE para novas vulnerabilidades no WordPress Core, WordPress Plugins e WordPress Themes.

O WordPress comanda mais de 40% da World Wide Web em 2021. Ao se tornar um CNA, o Wordfence expande nossa capacidade de elevar e acelerar a pesquisa de segurança do WordPress. Isso promove nosso objetivo de ajudar a proteger a comunidade de proprietários e desenvolvedores de sites do WordPress e os milhões de usuários de sites que acessam o WordPress todos os dias.

O que é um CNA?

A sigla CNA significa CVE Numbering Authority. Um CNA é uma organização que tem autoridade para atribuir IDs CVE a vulnerabilidades para um escopo definido. Como um CNA, o Wordfence pode atribuir IDs CVE a plug-ins, temas e vulnerabilidades principais do WordPress.

O que é um CVE?

CVE é um esforço comunitário internacional e depende da comunidade para descobrir vulnerabilidades. As vulnerabilidades são descobertas e então atribuídas e publicadas na Lista CVE. A missão do programa Common Vulnerabilities and Exposures (CVE®) é identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente. Há um registro CVE para cada vulnerabilidade no catálogo.

O que isso significa para os clientes do Wordfence?

Enquanto a equipe do Wordfence Threat Intelligence continua a produzir pesquisas inovadoras de segurança do WordPress, o Wordfence pode atribuir IDs CVE de maneira mais eficiente antes de divulgar publicamente quaisquer vulnerabilidades que nossa equipe descobrir. Isso significa que um CVE ID será atribuído imediatamente com cada vulnerabilidade que descobrirmos, em vez de esperar por uma atribuição de um CNA externo.

Para relatar uma vulnerabilidade, mesmo que haja incerteza sobre o processo de divulgação responsável, produção de prova de conceito ou procedimentos de revisão de mitigação, a equipe do Wordfence Threat Intelligence está disponível para ajudar. Nossa equipe altamente credenciada tem conhecimento e experiência na divulgação de segurança adequada e pode ajudar a garantir que a correção adequada de vulnerabilidades, independentemente da gravidade, seja aplicada e verificada. Como pesquisador original, você recebe o ID CVE e crédito público por sua descoberta. Você também receberá agradecimentos dos usuários e da comunidade que protegeu por meio de sua divulgação responsável. Entre em contato conosco e ficaremos felizes em ajudar.

Como relatar vulnerabilidades ao Wordfence para atribuição e publicação CVE?

Para relatar uma vulnerabilidade ao WordFence para um plugin WordPress, tema WordPress ou núcleo do WordPress, entre em contato com [email protected] com o informações de vulnerabilidade. Inclua os seguintes detalhes:

• Uma descrição concisa da vulnerabilidade.
• Uma prova de conceito-ou seja, como a vulnerabilidade pode ser potencialmente explorada.
• Qual componente de software em nosso escopo é afetado-ou seja, qual plugin ou tema é afetado ou qual parte do núcleo do WordPress.
• Os números das versões afetadas.
• Os nomes das pessoas que você gostaria que fossem creditadas pela descoberta-ou indique se deseja permanecer anônimo.
• Qualquer outra informação adicional conforme apropriado.

A equipe do Wordfence Threat Intelligence revisará suas descobertas e fará um relatório dentro de 1-3 dias úteis com uma atribuição de ID CVE ou uma solicitação de informações adicionais.

O envolvimento e alcance da comunidade no Wordfence ajudou a acelerar nossos esforços para proteger a comunidade global do WordPress. Tornar-se um CNA ajudou a promover esse objetivo. Nossa equipe espera agilizar nossa própria pesquisa e ajudar a incentivar e permitir que novos pesquisadores se juntem à crescente comunidade de pessoas que descobrem e divulgam vulnerabilidades do WordPress de forma responsável. Juntos, podemos trabalhar para uma Web mais segura para todos.