根據(jù)網(wǎng)站安全公司 Patchstack(前身為 WebARX)的一份新報(bào)告，2020 年有超過 580 個 WordPress 漏洞被披露，但其中絕大部分影響到第三方插件和主題，而不是 WordPress 核心。

該報(bào)告是基于 Patchstack 的 WordPress 漏洞數(shù)據(jù)庫的數(shù)據(jù)，其中包括該公司的內(nèi)部研究團(tuán)隊(duì)及其漏洞賞金社區(qū)、第三方網(wǎng)絡(luò)安全供應(yīng)商和獨(dú)立安全研究人員收集的信息。值得注意的是，WordPress 內(nèi)容管理系統(tǒng)(CMS)驅(qū)動著互聯(lián)網(wǎng)上 40% 以上的網(wǎng)站，用戶有數(shù)以萬計(jì)的插件供他們使用，以實(shí)現(xiàn)各種功能。

對去年披露的漏洞分析表明，在 582 個獨(dú)特的問題中，超過 96% 的問題實(shí)際上影響了第三方主題或插件，其中許多主題或插件被數(shù)百萬個網(wǎng)站所采用。在插件中發(fā)現(xiàn)了 470 多個安全漏洞，只有 22 個影響了 WordPress 核心 —— 其余的都只影響了主題。

Patchstack 還分析了 5 萬個 WordPress 網(wǎng)站，發(fā)現(xiàn)它們平均使用了 23 個第三方插件，平均會有 4 個插件沒有更新到最新版本。Patchstack 在其報(bào)告中寫道："網(wǎng)站上每多安裝一個插件，暴露在潛在漏洞中的風(fēng)險(xiǎn)就會增加。網(wǎng)站更新滯后的事實(shí)更增加了風(fēng)險(xiǎn)"。

跨站腳本(XSS)漏洞是最常見的，其次是 SQL 注入、跨站請求偽造(CSRF)、信息泄漏和任意文件上傳漏洞(如下圖所示)。

Patchstack 表示，根據(jù)今年通過其漏洞賞金計(jì)劃提交的漏洞報(bào)告，截止到目前為止發(fā)現(xiàn)的漏洞數(shù)量相比 2020 年似乎有所增加。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：2020 年超過 580 個 WordPress 漏洞被披露

本文地址：https://www.oschina.net/news/138889/over-580-wordpress-vulnerabilities-disclosed-2020