Уразливості плагінів WordPress у 2021 році зросли більш ніж вдвічі

Що щойно сталося? Уразливості сторонніх плагінів WordPress значно зросли в 2021 році, і багато з них все ще мають відомі загальнодоступні експлойти. Фірма з кібербезпеки Risk Based Security повідомила, що наприкінці минулого року повідомлялося про 10 359 вразливостей, які впливали на сторонні плагіни WordPress, з яких 2 240 було розкрито в 2021 році. Це на 142 відсотки більше, ніж у 2020 році, але більшу занепокоєння викликає той факт, що 77 відсоток усіх відомих уразливостей плагінів WordPress – або 7993 з них – мають відомі загальнодоступні дії.

Більш детальний огляд показав, що 7592 уразливості плагінів WordPress можна використовувати віддалено, тоді як 4797 мають загальнодоступний експлойт, але не мають ідентифікатора CVE. Для організацій, які покладаються лише на CVE для визначення пріоритетів пом'якшення наслідків, останнє означає, що більше 60 відсотків уразливостей із загальнодоступним використанням навіть не будуть на радарі.

Ще одне питання безпеки на основі ризиків, яке торкнулося для організацій, — це їхня зосередженість на критичності, а не на можливості використання.

У фірмі зазначають, що багато організацій класифікують уразливості з оцінкою серйозності CVSS нижче 7,0 як не високопріоритетні, і тому не вирішують їх відразу. Це проблема, якщо врахувати, що середня оцінка CVSS для всіх уразливостей плагінів WordPress становить 5,5.

Risk Based Security та інші помітили, що зловмисники віддають перевагу вразливостям не з високими балами серйозності, а скоріше тим, які можна легко використати. Враховуючи дані та спостереження, можливо, деяким організаціям було б розумно переглянути свої протоколи управління загрозами.

Автор зображення: Джастін Морган