去年安全分析人員發(fā)現(xiàn)可利用的WordPress插件漏洞的數(shù)量爆炸性增長。來自RiskBased Security的研究人員報告說，他們發(fā)現(xiàn)在2021年，WordPress插件漏洞的數(shù)量增加了三位數(shù)。

據(jù)報道，在2021年底，有10359個漏洞影響第三方WordPress插件，其中，2240個漏洞是在去年披露的，與2020年相比，漏洞數(shù)量增加了142%。更糟糕的是，在這些額外的WordPress插件漏洞中，超過四分之三（77%）是已知的、公開的漏洞。

報告發(fā)現(xiàn)，有7592個WordPress漏洞可被遠程利用，7993個漏洞有公開利用，4797個WordPress漏洞有公開利用，但沒有CVE ID。換句話說，依靠CVE組織無法得知60%公開的WordPress插件漏洞。

根據(jù)RiskBased團隊的說法，對新出現(xiàn)的WordPress攻擊面的正確反應是，從根據(jù)風險對組織的重要性來確定資源的優(yōu)先次序，轉而關注最容易被利用的漏洞。平均而言，所有WordPress插件漏洞的CVSSv2得分是5.5，根據(jù)許多當前的虛擬機框架，這充其量被認為是一個中等風險，但是使用WordPress的企業(yè)不能讓這些容易被威脅者利用的機會陷入積壓的補丁中。

該小組指出，1月10日網(wǎng)絡安全和基礎設施安全局（CISA）對約束性操作指令的更新，概述了針對聯(lián)邦網(wǎng)絡的漏洞和積極威脅。該更新同樣將容易利用的漏洞置于CVSS分數(shù)較高的漏洞之上，這表明，惡意行為者并不青睞CVSS嚴重性高的漏洞，而是選擇那些他們容易利用的漏洞。

（舉報）