WordPress コアのセキュリティ課題をプラグインチームに報告しないでください。WordPress 自体の課題を報告するには、セキュリティー脆弱性の報告に関する手順に従ってください。
セキュリティの課題があるプラグインを見つけた場合、それについて公に投稿 しないでください。たとえ公式のセキュリティ追跡サイトに報告があったとしても、セキュリティの課題を広く認識させることは、ハッキングされる人を増加させる傾向があるだけであり、修正が早まることはほとんどありません。
プラグインを報告するには、plugins@wordpress.org に以下の内容を e メールで連絡してください:
- 課題についての、明確で簡潔な説明
- 当該プラグインへのリンク
- あなた自身が、セキュリティ課題を検証したか否か
- 任意 – 第三者サイトで公に開示されている情報へのリンク
深刻な脆弱性の場合は、責任ある合理的な情報開示を心掛けてください。プラグインを私たちに報告する 前に、開発者に直接連絡するあらゆる試みを行う必要があります (難しいとは理解していますけれども – 多くの開発者が e メールアドレスを掲載しているので、まずはプラグインのソースコードを確認してください)。個人的に連絡できない場合は、私たちに直接ご連絡くだされば、お手伝いします。
ほとんどのプラグインは、課題が解決されるまで新しいダウンロードができないようにクローズされます。その為、プラグインが更新されるまで、修正されたことが 通知されない 可能性があります。また、リソースが不足しているため、現時点では CVE (Common Vulnerabilities and Exposures、共通脆弱性識別子データベース) のファイリングに関する支援も 提供していません。ご自身で CVE を申請されるのは自由ですが、私たちはお手伝いできません。
すでに脆弱性を公開で投稿し、報告へのリンクを提供している場合は、削除しないでください ! プラグインの開発者宛に直接転送します。