Las vulnerabilidades de los complementos de WordPress se duplicaron con creces en 2021

¿Lo que acaba de suceder? Las vulnerabilidades de los complementos de WordPress de terceros aumentaron significativamente en 2021, y muchos de ellos todavía tienen vulnerabilidades públicas conocidas. La firma de seguridad cibernética Risk Based Security dijo que se informaron 10,359 vulnerabilidades que afectaron los complementos de WordPress de terceros a fines del año pasado, de los cuales 2,240 se divulgaron en 2021. Eso es un aumento del 142 por ciento en comparación con 2020, pero la mayor preocupación es el hecho de que 77 el porcentaje de todas las vulnerabilidades conocidas de complementos de WordPress, o 7993 de ellas, tienen vulnerabilidades públicas conocidas.

Una mirada más cercana reveló que 7592 vulnerabilidades de complementos de WordPress se pueden explotar de forma remota, mientras que 4797 tienen un exploit público pero no tienen ID de CVE. Para las organizaciones que solo confían en CVE para la priorización de la mitigación, esto último significa que más del 60 % de las vulnerabilidades con un exploit público ni siquiera estarán en su radar.

Otro problema que aborda la seguridad basada en riesgos para las organizaciones es su enfoque en la criticidad en lugar de la explotabilidad.

La firma señala que muchas organizaciones clasifican las vulnerabilidades con un puntaje de gravedad CVSS inferior a 7.0 como de poca prioridad y, por lo tanto, no las abordan de inmediato. Eso es un problema considerando que el puntaje CVSS promedio para todas las vulnerabilidades de los complementos de WordPress es 5.5.

La seguridad basada en riesgos y otros han observado que los actores maliciosos favorecen las vulnerabilidades que no tienen puntajes de gravedad altos, sino aquellas que pueden explotarse fácilmente. Dados los datos y las observaciones, tal vez sería prudente que algunas organizaciones reconsideraran sus protocolos de gestión de amenazas.

Crédito de la imagen: Justin Morgan