安全人员发现去年可利用的WordPress插件漏洞数量爆炸性增长

据报道，在2021年底，有10359个漏洞影响第三方WordPress插件，其中，2240个漏洞是在去年披露的，与2020年相比，漏洞数量增加了142%。更糟糕的是，在这些额外的WordPress插件漏洞中，超过四分之三（77%）是已知的、公开的漏洞。

报告发现，有7592个WordPress漏洞可被远程利用，7993个漏洞有公开利用，4797个WordPress漏洞有公开利用，但没有CVE ID。换句话说，依靠CVE组织无法得知60%公开的WordPress插件漏洞。

根据RiskBased团队的说法，对新出现的WordPress攻击面的正确反应是，从根据风险对组织的重要性来确定资源的优先次序，转而关注最容易被利用的漏洞。平均而言，所有WordPress插件漏洞的CVSSv2得分是5.5，根据许多当前的虚拟机框架，这充其量被认为是一个中等风险，但是使用WordPress的企业不能让这些容易被威胁者利用的机会陷入积压的补丁中。

该小组指出，1月10日网络安全和基础设施安全局（CISA）对约束性操作指令的更新，概述了针对联邦网络的漏洞和积极威胁。该更新同样将容易利用的漏洞置于CVSS分数较高的漏洞之上，这表明，恶意行为者并不青睐CVSS严重性高的漏洞，而是选择那些他们容易利用的漏洞。