WPScan agora pode atribuir números CVE para vulnerabilidades de núcleo, plug-in e tema do WordPress – Taberna do WordPress

WPScan, uma empresa de segurança que mantém um banco de dados de vulnerabilidades do WordPress, foi oficialmente designada como CVE (Common Vulnerability and Exposures) Numbering Authority (CNA). A empresa se junta a 151 organizações de 25 países que participam do Programa CVE como CNAs. Essas organizações estão autorizadas a atribuir identificadores CVE (IDs CVE) a vulnerabilidades em seus próprios escopos distintos de trabalho, contribuindo para a lista de registros CVE de vulnerabilidades de segurança publicamente conhecidas.

O escopo do WPScan inclui o núcleo do WordPress, plug-in e vulnerabilidades de tema. A empresa catalogou mais de 21.905 vulnerabilidades desde 2014 em seu banco de dados, que disponibiliza para a comunidade por meio de uma API. Essa API também é usada pelo plugin WPScan Security Scanner, que está instalado em mais de 5.000 sites.

Ser designado como um CNA ajuda o WPScan a gerenciar melhor as vulnerabilidades do WordPress, atribuindo-lhes IDs exclusivos que são reconhecidos em toda a indústria.

“Pedir ao MITER para atribuir CVEs para cada uma de nossas vulnerabilidades consumiria muito tempo no passado”, disse o fundador e CEO da WPScan, Ryan Dewhurst. “Embora alguns pesquisadores de segurança passem por esse processo diretamente com o MITER, não o fizemos devido ao volume de vulnerabilidades que temos que gerenciar. E os pesquisadores de segurança raramente os solicitavam. O novo processo significa que nós mesmos podemos atribuir números CVE diretamente às vulnerabilidades. Isso resultará na atribuição de números CVE a muitas outras vulnerabilidades relacionadas ao WordPress. ”

WPScan é uma equipe de três pesquisadores de segurança com experiência em testes de penetração e que trabalharam em consultoria de segurança nos últimos 10 a 15 anos. A empresa começou com um script Ruby simples em 2011, que identificava vulnerabilidades em sites WordPress auto-hospedados. Nos últimos dois anos, a Automattic patrocinou os esforços da empresa em manter o banco de dados, à medida que o WPScan fazia a transição para se tornar um negócio sustentável com a venda de acesso à sua API.

Dewhurst disse que os clientes da empresa incluem “alguns dos maiores plug-ins de segurança e empresas de hospedagem do mundo”, mas muitos deles não anunciam o fato de que usam terceiros para identificar as vulnerabilidades. A maioria dos clientes corporativos do WPScan são plug-ins de segurança, empresas e hosts que integram dados do banco de dados de vulnerabilidade em seus próprios produtos e serviços.

“Nosso negócio está indo bem”, disse ele. “No momento, estamos tentando encontrar o equilíbrio certo entre ser um negócio e ganhar dinheiro, ao mesmo tempo em que beneficiamos a comunidade o máximo possível.”



Source

Deixe uma resposta

%d blogueiros gostam disto: