2020年披露了580多个WordPress漏洞,但其中绝大多数影响的是第三方插件和主题,而不是WordPress核心。该报告基于Patchstack的WordPress漏洞数据库中的数据,其中包括公司内部研究团队及其漏洞赏金社区、第三方网络安全供应商和独立安全研究人员收集的信息。值得注意的是,WordPress内容管理系统(CMS)为互联网上40%以上的网站提供支持,用户可以使用数以万计的插件来实现各种功能。去年披露的漏洞分析表明,在582个独特问题中,超过96%实际上影响了第三方主题或插件,其中许多被数百万网站使用。在插件中发现的470多个安全漏洞中,只有22个影响了WordPress核心——其余仅影响主题。Patchstack还分析了50,000个WordPress站点,发现它们平均使用了23个第三方插件,平均有4个插件没有更新到最新版本。“网站上安装的每个额外插件都会增加暴露于潜在漏洞的风险。网站更新滞后的事实增加了风险,”Patchstack在其报告中写道。跨站脚本(XSS)漏洞最为常见,其次是SQL注入、跨站请求伪造(CSRF)、信息泄露和任意文件上传漏洞(如下图所示)。根据Patchstack,根据今年通过其漏洞赏金计划提交的漏洞报告,与2020年相比,迄今为止发现的漏洞数量似乎有所增加。本文转自OSCHINA标题:2020年披露的580多个WordPress漏洞地址:https://www.oschina.net/news/138889/over-580-wordpress-vulnerabilities-disclosed-2020
