去年安全分析人员发现可利用的wordpress插件漏洞的数量爆炸性增长。来自riskbased security的研究人员报告说,他们发现在2021年,wordpress插件漏洞的数量增加了三位数。
据报道,在2021年底,有10359个漏洞影响第三方wordpress插件,其中,2240个漏洞是在去年披露的,与2020年相比,漏洞数量增加了142%。更糟糕的是,在这些额外的wordpress插件漏洞中,超过四分之三(77%)是已知的、公开的漏洞。
报告发现,有7592个wordpress漏洞可被远程利用,7993个漏洞有公开利用,4797个wordpress漏洞有公开利用,但没有cve id。换句话说,依靠cve组织无法得知60%公开的wordpress插件漏洞。
根据riskbased团队的说法,对新出现的wordpress攻击面的正确反应是,从根据风险对组织的重要性来确定资源的优先次序,转而关注最容易被利用的漏洞。平均而言,所有wordpress插件漏洞的cvssv2得分是5.5,根据许多当前的虚拟机框架,这充其量被认为是一个中等风险,但是使用wordpress的企业不能让这些容易被威胁者利用的机会陷入积压的补丁中。
该小组指出,1月10日网络安全和基础设施安全局(cisa)对约束性操作指令的更新,概述了针对联邦网络的漏洞和积极威胁。该更新同样将容易利用的漏洞置于cvss分数较高的漏洞之上,这表明,恶意行为者并不青睐cvss严重性高的漏洞,而是选择那些他们容易利用的漏洞。
