2020年披露的WordPress漏洞中超過96%受到第三方代碼的影響
根據(jù)網(wǎng)站安全公司Patchstack(以前的WebARX)的最新報告��,到2020年����,共有580多個WordPress漏洞被披露�����,但其中絕大多數(shù)影響了第三方插件和主題,而不是WordPress核心�����。
該報告基于Patchstack的WordPress漏洞數(shù)據(jù)庫中的數(shù)據(jù)�,該數(shù)據(jù)包括公司內(nèi)部研究團(tuán)隊及其漏洞賞金社區(qū),第三方網(wǎng)絡(luò)安全供應(yīng)商以及獨立安全研究人員收集的信息��。
值得注意的是����,WordPress內(nèi)容管理系統(tǒng)(CMS)支持Internet上40%以上的網(wǎng)站,并且用戶可以使用數(shù)以萬計的插件來實現(xiàn)各種功能���。
對去年披露的漏洞的分析顯示�����,在582個獨特的問題中,超過96%的問題實際上影響了第三方主題或插件�,其中許多主題存在于數(shù)百萬個網(wǎng)站上。在插件中發(fā)現(xiàn)了470多個安全漏洞�����,只有22個漏洞影響了WordPress核心,其余的都影響了主題�。
Patchstack分析了50,000個WordPress網(wǎng)站,發(fā)現(xiàn)它們平均使用23個第三方插件���,其中四個未更新為最新版本����。
“在網(wǎng)站上安裝了每個其他插件之后�,暴露于潛在漏洞的風(fēng)險就會增加。網(wǎng)站滯后于更新的事實進(jìn)一步增加了風(fēng)險���,” Patchstack在其報告中寫道�。
跨站點腳本(XSS)漏洞是最常見的漏洞��,其次是SQL注入�����,跨站點請求偽造(CSRF)��,信息泄露和任意文件上傳漏洞����。
Patchstack告訴《安全周刊》�����,根據(jù)今年通過其漏洞賞金計劃提交的漏洞報告�����,與2020年相比�,發(fā)現(xiàn)的漏洞數(shù)量似乎有所增加����。該公司去年對400家開發(fā)商和數(shù)字代理商進(jìn)行的調(diào)查還顯示,攻擊增加���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
