去年安全分析人員發(fā)現(xiàn)可利用的WordPress插件漏洞的數(shù)量爆炸性增長(zhǎng)。來(lái)自RiskBased Security的研究人員報(bào)告說(shuō)，他們發(fā)現(xiàn)在2021年，WordPress插件漏洞的數(shù)量增加了三位數(shù)。

據(jù)報(bào)道，在2021年底，有10359個(gè)漏洞影響第三方WordPress插件，其中，2240個(gè)漏洞是在去年披露的，與2020年相比，漏洞數(shù)量增加了142%。更糟糕的是，在這些額外的WordPress插件漏洞中，超過(guò)四分之三(77%)是已知的、公開(kāi)的漏洞。

報(bào)告發(fā)現(xiàn)，有7592個(gè)WordPress漏洞可被遠(yuǎn)程利用，7993個(gè)漏洞有公開(kāi)利用，4797個(gè)WordPress漏洞有公開(kāi)利用，但沒(méi)有CVE ID。換句話(huà)說(shuō)，依靠CVE組織無(wú)法得知60%公開(kāi)的WordPress插件漏洞。

根據(jù)RiskBased團(tuán)隊(duì)的說(shuō)法，對(duì)新出現(xiàn)的WordPress攻擊面的正確反應(yīng)是，從根據(jù)風(fēng)險(xiǎn)對(duì)組織的重要性來(lái)確定資源的優(yōu)先次序，轉(zhuǎn)而關(guān)注最容易被利用的漏洞。平均而言，所有WordPress插件漏洞的CVSSv2得分是5.5，根據(jù)許多當(dāng)前的虛擬機(jī)框架，這充其量被認(rèn)為是一個(gè)中等風(fēng)險(xiǎn)，但是使用WordPress的企業(yè)不能讓這些容易被威脅者利用的機(jī)會(huì)陷入積壓的補(bǔ)丁中。

該小組指出，1月10日網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)對(duì)約束性操作指令的更新，概述了針對(duì)聯(lián)邦網(wǎng)絡(luò)的漏洞和積極威脅。該更新同樣將容易利用的漏洞置于CVSS分?jǐn)?shù)較高的漏洞之上，這表明，惡意行為者并不青睞CVSS嚴(yán)重性高的漏洞，而是選擇那些他們?nèi)菀桌玫穆┒础?/p>