Уязвимости плагинов WordPress увеличились более чем вдвое в 2021 году

Что только что произошло? Уязвимости сторонних плагинов WordPress значительно увеличились в 2021 году, и многие из них все еще имеют общедоступные эксплойты. Фирма по кибербезопасности Risk Based Security заявила, что на конец прошлого года сообщалось о 10 359 уязвимостях, затрагивающих сторонние плагины WordPress, из которых 2240 были раскрыты в 2021 году. Это на 142% больше, чем в 2020 году, но большую озабоченность вызывает тот факт, что 77 процент всех известных уязвимостей плагинов WordPress — или 7 993 из них — имеют общедоступные эксплойты.

Более пристальный взгляд показал, что 7 592 уязвимости в плагинах WordPress можно использовать удаленно, а 4 797 имеют общедоступный эксплойт, но не имеют CVE ID. Для организаций, которые полагаются только на CVE для определения приоритетов смягчения последствий, последнее означает, что более 60 процентов уязвимостей с общедоступным эксплойтом даже не будут в поле их зрения.

Еще одна проблема, касающаяся безопасности на основе рисков для организаций, заключается в том, что они уделяют особое внимание критичности, а не возможности использования.

Фирма отмечает, что многие организации классифицируют уязвимости с оценкой серьезности CVSS ниже 7,0 как не имеющие высокого приоритета и поэтому не устраняют их сразу. Это проблема, учитывая, что средний балл CVSS для всех уязвимостей плагинов WordPress составляет 5,5.

Безопасность, основанная на рисках, и другие наблюдают, как злоумышленники отдают предпочтение уязвимостям не с высокой степенью серьезности, а скорее тем, которые можно легко использовать. Учитывая данные и наблюдения, возможно, некоторым организациям было бы разумно пересмотреть свои протоколы управления угрозами.

Кредит изображения: Джастин Морган