WordPress-plugins sårbarheter mer än fördubblades under 2021

Vad hände nyss? Tredjeparts WordPress-plugin-sårbarheter ökade avsevärt under 2021, och många av dem har fortfarande kända offentliga utnyttjande. Cybersäkerhetsföretaget Risk Based Security sa att 10 359 sårbarheter rapporterades påverka WordPress-plugins från tredje part i slutet av förra året, varav 2 240 avslöjades 2021. Det är en ökning med 142 procent jämfört med 2020, men det större problemet är det faktum att 77 procent av alla kända WordPress-pluginsårbarheter – eller 7 993 av dem – har kända offentliga utnyttjande.

En närmare titt avslöjade att 7 592 WordPress-pluginsårbarheter är fjärrexploaterbara medan 4 797 har en offentlig exploatering men inget CVE-ID. För organisationer som bara förlitar sig på CVE:er för begränsningsprioritering, betyder det senare att mer än 60 procent av sårbarheterna med en offentlig exploatering inte ens kommer att finnas på deras radar.

En annan fråga som riskbaserad säkerhet berört för organisationer är deras fokus på kritik snarare än exploateringsbarhet.

Företaget noterar att många organisationer kategoriserar sårbarheter med en CVSS-allvarlighetspoäng under 7,0 som inte högprioriterade och åtgärdar dem därför inte direkt. Det är ett problem med tanke på att den genomsnittliga CVSS-poängen för alla WordPress-pluginsårbarheter är 5.5.

Riskbaserad säkerhet och andra har observerat illvilliga aktörer som gynnar sårbarheter inte med höga poäng, utan snarare sådana som lätt kan utnyttjas. Med tanke på data och observationer kanske det vore klokt för vissa organisationer att ompröva sina hothanteringsprotokoll.

Bildkredit: Justin Morgan