Le vulnerabilità dei plugin di WordPress sono più che raddoppiate nel 2021

Cosa è appena successo? Le vulnerabilità dei plugin di WordPress di terze parti sono aumentate in modo significativo nel 2021 e molti di loro hanno ancora exploit pubblici noti. La società di sicurezza informatica Risk Based Security ha affermato che alla fine dello scorso anno 10.359 vulnerabilità interessavano plug-in WordPress di terze parti, di cui 2.240 sono state divulgate nel 2021. Si tratta di un aumento del 142% rispetto al 2020, ma la preoccupazione maggiore è il fatto che 77 la percentuale di tutte le vulnerabilità conosciute dei plugin di WordPress – o 7.993 di esse – ha exploit pubblici noti.

Uno sguardo più attento ha rivelato che 7.592 vulnerabilità dei plugin di WordPress sono sfruttabili da remoto mentre 4.797 hanno un exploit pubblico ma nessun CVE ID. Per le organizzazioni che si affidano solo ai CVE per la definizione delle priorità di mitigazione, quest’ultimo significa che oltre il 60% delle vulnerabilità con un exploit pubblico non sarà nemmeno nel loro radar.

Un altro problema affrontato dalla sicurezza basata sul rischio per le organizzazioni è la loro attenzione alla criticità piuttosto che allo sfruttamento.

L’azienda rileva che molte organizzazioni classificano le vulnerabilità con un punteggio di gravità CVSS inferiore a 7,0 come non prioritarie e quindi non le affrontano immediatamente. Questo è un problema considerando che il punteggio CVSS medio per tutte le vulnerabilità dei plugin di WordPress è 5,5.

Risk Based Security e altri hanno osservato attori malintenzionati che favoriscono le vulnerabilità non con punteggi di gravità elevati, ma piuttosto quelle che possono essere facilmente sfruttate. Dati i dati e le osservazioni, forse sarebbe saggio per alcune organizzazioni riconsiderare i propri protocolli di gestione delle minacce.

Credito immagine: Justin Morgan