去年安全分析人員發現可利用的WordPress插件漏洞的數量爆炸性增長。來自RiskBased Security的研究人員報告說,他們發現在2021年,WordPress插件漏洞的數量增加了三位數。
據報道,在2021年底,有10359個漏洞影響第三方WordPress插件,其中,2240個漏洞是在去年披露的,與2020年相比,漏洞數量增加了142%。更糟糕的是,在這些額外的WordPress插件漏洞中,超過四分之三(77%)是已知的、公開的漏洞。
報告發現,有7592個WordPress漏洞可被遠端利用,7993個漏洞有公開利用,4797個WordPress漏洞有公開利用,但沒有CVE ID。換句話說,依靠CVE組織無法得知60%公開的WordPress插件漏洞。
根據RiskBased團隊的說法,對新出現的WordPress攻擊面的正确反應是,從根據風險對組織的重要性來确定資源的優先次序,轉而關注最容易被利用的漏洞。平均而言,所有WordPress插件漏洞的CVSSv2得分是5.5,根據許多目前的虛拟機架構,這充其量被認為是一個中等風險,但是使用WordPress的企業不能讓這些容易被威脅者利用的機會陷入積壓的更新檔中。
該小組指出,1月10日網絡安全和基礎設施安全局(CISA)對限制性操作指令的更新,概述了針對聯邦網絡的漏洞和積極威脅。該更新同樣将容易利用的漏洞置于CVSS分數較高的漏洞之上,這表明,惡意行為者并不青睐CVSS嚴重性高的漏洞,而是選擇那些他們容易利用的漏洞。