依据网站安全性企业 Patchstack(其前身为 WebARX)的一份新汇报,2020 年有超出 580 个 WordPress 漏洞被披露,但在其中绝大多数危害到第三方插件和主题,而不是 WordPress 关键。
该报告单是根据 Patchstack 的 WordPress 漏洞数据库查询的数据信息,主要包括该公司的内部结构科学研究精英团队以及漏洞悬赏金小区、第三方网络信息安全经销商和单独安全性科研工作人员搜集的信息。特别注意的是,WordPress 内容管理系统(CMS)推动着互联网技术上 40% 以上的网址,客户有数以万计的插件供她们应用,以完成多种作用。
对上年披露的漏洞分析表明,在 582 个与众不同的问题中,超出 96% 的问题事实上危害了第三方主题或插件,在其中很多主题或插件被数百万个网址所选用。在插件中看到了 470 好几个安全性漏洞,仅有 22 个危害了 WordPress 关键 —— 其他的都只危害了主题。
Patchstack 还研究了 5 万只 WordPress 网址,发觉他们均值应用了 23 个第三方插件,均值会出现 4 个插件沒有升级到最新版。Patchstack 在其汇报中写到:"网址上每多安裝一个插件,曝露在潜在性漏洞中的风险性便会提升。网站发布落后的客观事实更提高了风险性"。
跨站脚本制作(XSS)漏洞是最多见的,次之是 SQL 引入、跨站要求仿冒(CSRF)、信息泄露和随意上传文件漏洞(如下图所示)。
Patchstack 表明,依据2022年根据其漏洞悬赏金方案递交的漏洞汇报,截至到现在为止发觉的漏洞总数对比 2020 年好像有所增加。
文中转自OSCHINA
本文文章标题:2020 年超出 580 个 WordPress 漏洞被披露
文中详细地址:https://www.oschina.net/news/138889/over-580-wordpress-vulnerabilities-disclosed-2020