WordPress | Bug Bounty Program

WordPress | Bug Bounty Program

El programa Bug Bounty de la plataforma WordPress se ha integrado con HackerOne. Como resultado, todas las presentaciones de WordPress Bug Bounty Program deben realizarse para su revisión a través del portal HackerOne.

WordPress es una plataforma de publicación de código abierto. El programa HackerOne cubre el Core software, así como otros proyectos e infraestructura relacionados.

Nuestros objetivos más críticos son:

• WordPress Core software, API, y sitio web.
• Gutenberg software y Classic Editor software.
• WP-CLI software y sitio web.
• BuddyPress software y sitio web.
• bbPress software y sitio web.
• GlotPress software (pero no sitio web).
• WordCamp.org sitio web.

El código fuente de la mayoría de los sitios web se puede encontrar en el repositorio Meta (git clone git://meta.git.wordpress.org/). The Meta Environment proporcionará automáticamente una copia local de algunos sitios web.

WordPress.com es una entidad independiente del proyecto principal de código abierto WordPress. Informe de vulnerabilidades en WordPress.com o las aplicaciones móviles de WordPress a través de la página Automattic's HackerOne.

Vulnerabilidades que califican

Cualquier vulnerabilidad reproducible que tenga un efecto grave en la seguridad o privacidad de nuestros usuarios es probable que esté en el ámbito del programa.

Ejemplos comunes incluyen XSS, CSRF, SSRF, RCE, SQLi y elevación de privilegios.

Quedan fuera del alcance del programa

• Cualquier vulnerabilidad del sistema CVSS 3 con una puntuación inferior a 4.0 a menos que se pueda combinar con otras vulnerabilidades para obtener una puntuación más alta.
• Fuerza bruta, DoS, phishing, inyección de texto o ataques de ingeniería social.
• Vulnerabilidades de seguridad en plugins de WordPress no forman parte de este programa. Puede reportarlas al equipo Plugin Review.
• Informes de sitios web hackeados. El propietario del sitio puede obtener más información sobre cómo restaurar su sitio.
• Los usuarios con permisos de administrador o editor pueden publicar javascript arbitrario.
• Revelación de IDs de usuario.
• Open API que sirve datos públicos (incluidos los nombre e IDs de usuarios).
• Divulgación de Path para errores, warnings, o noticias.
• Divulgación del número de versión de WordPress.
• Advertencias de 'Mixed content' para imágenes y vídeos.
• Ausencia de cabeceras de seguridad HTTP (CSP, X-XSS, etc.)
• Reportes de escaneos automatizados: verifique manualmente los errores e incluya una prueba de concepto (PoC) válida.
• Cualquier vulnerabilidad no crítica en irclogs.wordpress.org, lists.wordpress.org, o en cualquier otro sitio de bajo impacto.
• Clickjacking con implicaciones de seguridad mínimas.
• Vulnerabilidades en Composer/NPM devDependencies, a menos que haya una forma práctica de explotarlo de forma remota.
• Vulnerabilidades teóricas en las que no se puede demostrar un impacto significativo en la seguridad con una PoC.

Dentro del alcance del programa

Dominio	*.wordpress.org All wordpress.org domains that are not listed in other assets, including (but not limited to) the following: login.wordpress.org developer.wordpress.org make.wordpress.org translate.wordpress.org global.wordpress.org, {locale}.wordpress.org (e.g., de.wordpress.org, es-mx.wordpress.org) learn.wordpress.org	Crítico	Elegible
Dominio	api.wordpress.org	Crítico	Elegible
Dominio	*.buddypress.org,bbpress.org,profiles.wordpress.org	Crítico	Elegible
Dominio	*.wordcamp.org	Crítico	Elegible
Dominio	planet.wordpress.org	Crítico	Elegible
Dominio	doaction.org	Crítico	Elegible
Dominio	codex.wordpress.org,codex.bbpress.org,codex.buddypress.org These are wikis, they're intended to be freely edited by anonymous users. We are not interested in vulnerabilities unless they have a severe impact.	Moderado	Elegible
Dominio	mercantile.wordpress.org This site runs uses the WooCommerce plugin, but we don't accept reports for that. We only accept reports for our custom code. If you find any vulnerabilities that are also present in WooCommerce itself, please report them to Automattic. Additionally, price manipulation is a common invalid report, please see #682344.	Moderado	Elegible
Dominio	lists.wordpress.org We are not interested in vulnerabilities unless they have a severe impact.	Moderado	Elegible
Dominio	wordpressfoundation.org	Moderado	Elegible
Dominio	irclogs.wordpress.org These are public logs of very old conversations. We are not interested in vulnerabilities unless they have a severe impact (e.g., RCE, XSS, modifying the logs, etc). DoS is not severe in this case.	Bajo	Elegible
Dominio	*.wordpress.net All WordPress.net domains, including (but not limited to) jobs.wordpress.net. This is a shared-hosting environment, and these are generally low-value targets, so we're usually only interested in high- and moderate- severity issues that affect the entire server (not just an individual site).	Bajo	Elegible
Dominio	munin-*.wordpress.org We are not interested in vulnerabilities unless they have a severe impact (e.g., RCE, SSRF). Metrics data is intentionally made public.	Bajo	Elegible
Código fuente	WordPress Core Download source code from: https://wordpress.org/download/source/	Crítico	Elegible
Código fuente	BuddyPress Core Download source code from: https://buddypress.org/download/	Crítico	Elegible
Código fuente	BBPress Core Download source code from: https://bbpress.org/download/	Crítico	Elegible
Código fuente	*.trac.wordpress.org, *.svn.wordpress.org, *.git.wordpress.org, github.com/WordPress Do not pentest Trac instances, it's very annoying to clean up after. Setup a local environment instead; the custom source code is available via the Git command below, in the trac.wordpress.org subfolder. If you ignore this you'll forfeit any bounty. Only report vulnerabilities in our custom code, don't report vulnerabilities that only exist upstream in Trac itself. Report those directly to info@edgewall.com. All source code that isn't behind authentication is intended to be public. The source code itself has High CVSS impact scores. The applications that manage the code (Trac, Git, SVN, etc) have low scores, except for vulnerabilities that allow modifications to the source code. Most of the source code in these domains is contained in the "meta" repository: git clone git://meta.git.wordpress.org/	Crítico	Elegible
Código fuente	Gutenberg Download source code from https://github.com/WordPress/gutenberg	Crítico	Elegible
Código fuente	GlotPress All code located under the GlotPress organization on GitHub. The most important target is the glotpress-wp repository. Other repositories are in scope, but may have a lower importance.	Crítico	Elegible
Código fuente	WP-CLI All code located under the WP-CLI organization on GitHub. The most important targets are the main wp-cli repository, and any repositories for commands that are bundled with the distributed wp-cli source code, like cache-command, scaffold-command, etc. Other repositories are in scope, but may have a lower importance.	Crítico	Elegible
Código fuente	Official WordPress plugins Any plugin listed on the WordPress.org profile for the "wordpressdotorg" account. To find the source code for any of them, clicking on the name will take you to the plugin's page within the WordPress.org plugin directory. Once there, click on the Download button for a .zip file of the latest release, or click on the Development tab for links to the code browser and Subversion repository.	Crítico	Elegible

Última actualización - 12 Septiembre 2019

Fuente: https://hackerone.com/wordpress