安全研究人员发现去年可利用的WordPress插件漏洞数量激增来自RiskBasedSecurity的研究人员报告说,他们发现2021年WordPress插件漏洞的数量增加了三位数。据报道,到2021年底,影响第三方WordPress插件的漏洞有10,359个,其中2,240个漏洞是在去年披露的,与2020年相比,漏洞数量增加了142%。更糟糕的是,超过四分之三(77%))这些额外的WordPress插件漏洞是已知的、公开的漏洞。报告发现,有7,592个WordPress漏洞可以被远程利用,7,993个漏洞具有公开漏洞,还有4,797个WordPress漏洞具有公开漏洞但没有CVEID。换句话说,依赖CVE的组织不知道60%的公共WordPress插件漏洞。根据RiskBased团队的说法,对新兴的WordPress攻击面的正确响应是不再根据风险对组织的重要性来确定资源的优先级,而是专注于最容易利用的漏洞。平均而言,所有WordPress插件漏洞的CVSSv2评分为5.5,根据当前许多虚拟机框架,这最多被认为是中等风险,但使用WordPress的企业不能让威胁参与者陷入这些易于利用的机会积压的补丁中间。该组织注意到1月10日网络安全和基础设施安全局(CISA)对具有约束力的操作指令进行了更新,其中概述了联邦网络的漏洞和活跃威胁。该更新还将易于利用的漏洞优先于CVSS分数较高的漏洞,这表明恶意行为者并不青睐CVSS严重性较高的漏洞,而是选择易于利用的漏洞。
