Vulnerabilidades de plugins do WordPress mais que dobraram em 2021

O que acabou de acontecer? As vulnerabilidades de plugins WordPress de terceiros aumentaram significativamente em 2021, e muitos deles ainda possuem exploits públicos conhecidos. A empresa de segurança cibernética Risk Based Security disse que 10.359 vulnerabilidades afetaram plugins WordPress de terceiros no final do ano passado, dos quais 2.240 foram divulgados em 2021. Isso representa um aumento de 142% em relação a 2020, mas a maior preocupação é o fato de que 77 por cento de todas as vulnerabilidades conhecidas de plugins do WordPress – ou 7.993 delas – têm exploits públicos conhecidos.

Um olhar mais atento revelou que 7.592 vulnerabilidades de plugins do WordPress são exploráveis ​​remotamente, enquanto 4.797 têm uma exploração pública, mas sem ID CVE. Para organizações que dependem apenas de CVEs para priorização de mitigação, o último significa que mais de 60% das vulnerabilidades com uma exploração pública nem estarão no radar.

Outra questão que a Segurança Baseada em Riscos abordou para as organizações é o foco na criticidade em vez da capacidade de exploração.

A empresa observa que muitas organizações categorizam vulnerabilidades com uma pontuação de gravidade CVSS abaixo de 7,0 como não sendo de alta prioridade e, portanto, não as abordam imediatamente. Isso é um problema, considerando que a pontuação média do CVSS para todas as vulnerabilidades do plugin WordPress é 5,5.

O Risk Based Security e outros observaram atores mal-intencionados favorecendo vulnerabilidades não com altas pontuações de gravidade, mas sim aquelas que podem ser facilmente exploradas. Dados os dados e observações, talvez seja sensato que algumas organizações reconsiderem seus protocolos de gerenciamento de ameaças.

Crédito da imagem: Justin Morgan