В прошлом году ИБ-исследователи обнаружили 7966 новых уязвимостей в экосистеме WordPress, большинство из которых затрагивали плагины и темы, сообщили аналитики компании Patchstack, специализирующиеся на безопасности WordPress.

Эксперты подсчитали, что всего семь уязвимостей, обнаруженных в прошлом году, затрагивали ядро WordPress. Большинство багов нашли в плагинах (7633 уязвимости, то есть 96% от общего числа), и лишь небольшой процент — в темах (326, или 4% от общего числа).

В общей сложности 1018 ошибок были обнаружены в различных плагинах, насчитывающих более 100 000 установок. Еще 115 уязвимых плагинов были установлены более 1 млн раз каждый, а из них семь могли похвастаться 10 млн установок.

По данным Patchstack, несмотря на такое количество уязвимостей, большинство из них не представляли значительной угрозы: эксплуатация 69,6% багов была сочтена маловероятной, еще 18,8% могли использоваться в целевых атаках, и только 11,6% подвергались атакам или их использование было признано вероятным.

При этом только треть уязвимостей оценивались как высокорисковые или критические по шкале CVSS.

В Patchstack отмечают, что 43% от всех уязвимостей, найденных в WordPress в 2024 году, можно было использовать без аутентификации, хотя некоторые баги требовали взаимодействия с аутентифицированным пользователем.

Для использования еще примерно 43% уязвимостей злоумышленнику требовались хотя бы низкие привилегии (например, контрибьютор или подписчик), а 12% требовали привилегий администратора, автора или редактора.

Почти половина проблем WordPress, задокументированных в прошлом году, были связаны с XSS (47,7%), а также были широко распространены баги нарушения контроля доступа (14,19%) и CSRF (11,35%).

В конце своего отчета аналитики Patchstack отметили, что разработчикам плагинов для WordPress следует действовать более оперативно, чтобы улучшить безопасность своих пользователей. Дело в том, что в прошлом году 33% обнаруженных не получали исправлений вплоть до публичного раскрытия информации о проблемах.

Самые популярные плагины с наиболее опасными уязвимостями

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии