WPScan peut désormais attribuer des numéros CVE pour les vulnérabilités WordPress Core, Plugin et Theme

WPScan, une société de sécurité qui gère une base de données de vulnérabilités WordPress, a été officiellement désignée comme une autorité de numérotation (CNA) CVE (Common Vulnerability and Exposures). L’entreprise rejoint 151 organisations de 25 pays qui participent au programme CVE en tant qu’ANC. Ces organisations sont autorisées à attribuer des identifiants CVE (ID CVE) à des vulnérabilités dans leurs propres domaines de travail distincts, contribuant à la liste des enregistrements de CVE pour les vulnérabilités de sécurité publiquement connues.

La portée de WPScan comprend les vulnérabilités du cœur, du plugin et du thème de WordPress. La société a catalogué plus de 21905 vulnérabilités depuis 2014 dans sa base de données, qu’elle met à disposition de la communauté via une API. Cette API est également utilisée par le plug-in WPScan Security Scanner, qui est installé sur plus de 5000 sites Web.

Être désigné comme CNA aide WPScan à mieux gérer les vulnérabilités de WordPress en leur attribuant des identifiants uniques reconnus dans l’industrie.

« Demander à MITRE d’attribuer des CVE à chacune de nos vulnérabilités aurait pris trop de temps dans le passé », a déclaré Ryan Dewhurst, fondateur et PDG de WPScan. « Bien que certains chercheurs en sécurité passent par ce processus directement avec MITRE, nous ne l’avons pas fait en raison du volume de vulnérabilités que nous devons gérer. Et les chercheurs en sécurité ne les ont demandés eux-mêmes que très rarement. Le nouveau processus signifie que nous pouvons nous-mêmes attribuer des numéros CVE directement aux vulnérabilités. Cela entraînera l’attribution de numéros CVE à de nombreuses autres vulnérabilités liées à WordPress.  »

WPScan est une équipe de trois chercheurs en sécurité issus des tests d’intrusion et ayant travaillé dans le conseil en sécurité au cours des 10 à 15 dernières années. La société a commencé avec un simple script Ruby en 2011, qui a identifié des vulnérabilités dans les sites WordPress auto-hébergés. Au cours des deux dernières années, Automattic a parrainé les efforts de la société pour maintenir la base de données, alors que WPScan est devenu une entreprise durable en vendant l’accès à son API.

Dewhurst a déclaré que les clients de la société comprenaient « certains des plus grands plugins de sécurité et sociétés d’hébergement au monde », mais que beaucoup d’entre eux n’annoncent pas le fait qu’ils utilisent un tiers pour trouver les vulnérabilités. La plupart des entreprises clientes de WPScan sont des plugins de sécurité, des entreprises et des hôtes qui intègrent les données de la base de données de vulnérabilités dans leurs propres produits et services.

« Notre entreprise se porte bien », dit-il. « À l’heure actuelle, nous essayons de trouver le bon équilibre entre être une entreprise et gagner de l’argent, tout en bénéficiant autant que possible à la communauté. »

Comme ça:

J’aime chargement …

Tags: