首页 > 业界 > 关键词 > WordPress最新资讯 > 正文

2020 年超过 580 个 WordPress 漏洞被披露

2021-04-25 09:13 · 稿源:开源中国

根据网站安全公司 Patchstack(前身为 WebARX)的一份新报告,2020年有超过580个 WordPress 漏洞被披露,但其中绝大部分影响到第三方插件和主题,而不是 WordPress 核心。

程序员 黑客 代码 漏洞

该报告是基于 Patchstack 的 WordPress 漏洞数据库的数据,其中包括该公司的内部研究团队及其漏洞赏金社区、第三方网络安全供应商和独立安全研究人员收集的信息。值得注意的是,WordPress 内容管理系统(CMS)驱动着互联网上40% 以上的网站,用户有数以万计的插件供他们使用,以实现各种功能。

对去年披露的漏洞分析表明,在582个独特的问题中,超过96% 的问题实际上影响了第三方主题或插件,其中许多主题或插件被数百万个网站所采用。在插件中发现了470多个安全漏洞,只有22个影响了 WordPress 核心 —— 其余的都只影响了主题。

Patchstack 还分析了5万个 WordPress 网站,发现它们平均使用了23个第三方插件,平均会有4个插件没有更新到最新版本。Patchstack 在其报告中写道:"网站上每多安装一个插件,暴露在潜在漏洞中的风险就会增加。网站更新滞后的事实更增加了风险"。

跨站脚本(XSS)漏洞是最常见的,其次是 SQL 注入、跨站请求伪造(CSRF)、信息泄漏和任意文件上传漏洞(如下图所示)。

Patchstack 表示,根据今年通过其漏洞赏金计划提交的漏洞报告,截止到目前为止发现的漏洞数量相比2020年似乎有所增加。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • WordPress 宣布在网站上自动禁用 Google FLoC

    ​WordPress 宣布,其认为 Google 新的 FLoC 跟踪技术是一种安全问题,并计划在 WordPress 网站上默认屏蔽它。

  • WordPress发公告:4行代码默认阻止网站启用谷歌FLoC追踪技术

    WordPress 今天发布公告,认为谷歌的新 FLoC 追踪技术存在安全隐患,并计划在 WordPress 网站上默认进行屏蔽。FLoC 全称叫做广告追踪技术群组联合学习,利用机器学习分析 Chrome 浏览器的网络行为,将有相同兴趣爱好的用户进行归类,然后向其推送相关的广告内容。不过 FLoC 遭到了很多机构和公司的抵制。除了电子前沿基金会(EFF)的痛批、DuckDuckGo 推出了默认阻止 FLoC 的浏览器扩展程序,就连同样使用 Chromium 内核的 Brave、

  • Passwordstate密码管理器遭黑客入侵 在客户系统上部署恶意软件

    The Record 报道称,某神秘黑客攻破了企业密码管理器应用程序的更新机制,并在其用户设备(大多数为企业客户)上部署了恶意软件。今天早些时候,澳大利亚软件公司 Click Studios 已经向 2.9 万名客户发去了电子邮件通知。由波兰科技新闻网站 Niebezpiecznik 获得的通告副本可知,带有恶意软件的更新包,在 4 月 20 ~ 22 日期间持续传播了 28 个小时。官网介绍(来自:Click Studios)丹麦安全公司 CSIS 今日发布了针对该供应链恶意

  • 软件加密库OpenSSL出现高危漏洞,容易遭黑客攻击致服务器崩溃

    日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。

  • 微软确认已修复NTFS格式磁盘拒绝服务致系统崩溃的漏洞

    在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题

  • 苹果发布 iOS 14.4.2 系统更新,修复安全漏洞

    在更新说明页面中,苹果解释了这次的漏洞源自于Webkit,如果遇上特制的恶意网站时,可能会允许跨站代码的执行。由于苹果已经有收到至少一起这个漏洞被利用的实例,因建议立即下载更新来保护安全。

  • 新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录

    WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。根据研究人员Luis Márquez Carpintero和Ernesto Canales Pere?a谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。那么,这一漏

  • 前iPod、Apple Music创意总监加入Impossible Foods

    曾与乔布斯合作推出iPod和iPhone的苹果创意总监Steve Turner加入Impossible Foods担任首席体验官。Impossible Foods是Impossible Burger等植物性肉类替代品的制造商,该公司聘请前苹果高管Steve Turner担任新的创意体验官一职。Turner将负责监督这家 "可持续食品系统"公司的营销工作。"Impossible Foods正在解决全球变暖和生物多样性崩溃的生存威胁,"Turner在一份声明中说。"当我发现该公司鼓舞人心的使命的那一刻,我就想成为其?

  • 本月补丁星期二活动共计修复108处漏洞 其中19处为关键漏洞

    对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来说,最近几个月一直非常忙碌,4 月累积更新修复了 5 个零日漏洞和更多的 Exchange 漏洞。在今天的更新中,微软共计修复了 108 处漏洞,其中 19 个标记为“关键漏洞”(Critial),89 个标记为“重要漏洞”(Important)。而且这些漏洞并不包含本月初发布的 6 个

  • 苹果AirDrop存在安全漏洞 可以将电话号码和电子邮件暴露给陌生人

    苹果AirDrop中新发现的一个安全漏洞,自2019年以来一直存在,可以将你的电话号码和电子邮件暴露给陌生人。AirDrop被认为是苹果生态系统的最佳功能之一。它快速、方便,不需要巨大的学习曲线就可以开始使用。由于有了AirDrop,向另一个iPhone、iPad或Mac用户发送文件、照片和视频从未如此简单。然而,据达姆施塔特大学的研究人员称,AirDrop可以向陌生人透露用户的联系信息和电子邮件。这是通过AirDrop所经历的过程来实现的,以检查

  • 特斯拉自动驾驶被曝重大漏洞:驾驶位没人也能启动Autopilot

    当地时间4月22日,美国《消费者报告》披露了特斯拉自动驾驶辅助系统的一大隐患。报告指出,特斯拉Model Y 在驾驶员座位无人的情况下依然可以启动Autopilot。

  • 宜家通过投资增强现实应用押注“Apple Glass

    据外媒AppleInsider报道,宜家工作室(Ikea Studio)应用程序允许用户用iPhone在房间里“放置”家具,但开发者表示,它实际上是为了与“Apple Glass”一起使用。宜家工作室是一款应用程序,可以用来将家具的数字表现形式放置到实体房间。这可以让顾客在承诺花钱之前,准确了解家具在自己家里的样子。该应用程序目前仅在TestFlight中可用,它依赖于iPhone的LiDAR传感器。它允许用户捕捉完整的3D房间图--包括窗户和门--并使用户能够?

  • 谷歌Project Zero团队调整漏洞披露指南:增加30天缓冲期

    谷歌 Project Zero 安全团队今天对漏洞披露指南进行了调整,为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利用。今天的这项调整对于安全领域来说非常重要,因为目前网络安全社区的很多人都已采用 Project Zero 的规则作为向软件供应商、向公众披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人员会给软件厂商 90 天的时间来修复一个安全漏洞。当 bug 被?

  • Facebook的Pages漏洞让全球政客们可以伪造民众支持率以攻击对手

    世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。"Faceboo

  • 探真科技携手HARBOR,镜像漏洞从此无所遁形

    随着企业上云的步伐逐渐加快,Docker作为当前云原生领域中最热门的开源容器引擎,其热度也是一路走高。虽然官方提供了公共的镜像仓库,但是从安全和效率等角度考虑,部署企业私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,可通过策略与基于角色的访问控制实现工件保护,扫描镜像内容使其免受漏洞侵害,最后对镜像进行可信签名。为企业用户提供了包括了RBAC权限管理、LDAP、审

  • [图]Google Assistant新特性:可帮你寻找iPhone了

    iOS 和 Android 系统中都有安全措施,可以帮助你寻找到丢失的智能手机。但如果只是在家中不知道将手机扔在哪里了,身边又没有其他人可以通过拨打电话的方式寻找,那怎么办呢?除了使用电脑等其他设备来定位和 ping 设备之外,另一种方法就是通过虚拟助手来帮你找到手机。在 iPhone 上,你可以通过 Siri(如果你在设备上启用了 always-listening 模式)来寻找手机,不过在即将到来的更新中你还可以使用 Google Assistant 来执行相同

  • Apple Fitness+新增针对孕妇、老人及初学者群体的三个类别锻炼

    据外媒报道,Fitness+是苹果于2020年底推出的一项服务,它可以帮助用户充分利用Apple Watch,只要愿意每月花上9.99美元购买Fitness+支持的Apple One套餐即可。Apple One Premier选项的价格则要每月29.95美元,但在这个价格下,用户可以获得Apple Music、Apple TV+、News+、Arcade和iCloud存储及Fitness+的支持。不管选择哪个套餐用户都可以跟多达5名家庭成员共享Fitness+。苹果刚刚宣布了一项Fitness+升级,其中包括用户全家都可以

  • 索尼下架PlayStation影视购买租赁服务 Video Pass或取而代之

    上月,索尼宣布了 PlayStation Store 将下架面向 PS4 用户的视频 / 付费电视节目的购买或租赁,理由是 PlayStation 玩家更倾向于通过 Netflix 和亚马逊 Prime 等服务来观看流媒体内容。该公司提到:“索尼互娱(SIE)致力于为 PlayStation 粉丝们提供最佳的娱乐体验,但这也意味着我们的产品需要随着客户需求的转变而不断发展”。显然,SIE 已经看到了 PlayStation 玩家们在游戏主机上使用基于订阅 / 广告的娱乐流媒体服务的巨大增

  • SpaceX最新ISS载人发射任务因天气被迫推迟:最早于周五进行

    据外媒报道,NASA和SpaceX将再次合作向国际空间站(ISS)发射卫星。SpaceX载人龙飞船(Crew Dragon)原定于周四将四名宇航员从地球运送到空间站,但NASA的一份声明显示,这一计划至少推迟了一天。罪魁祸首是谁?--当然是天气!虽然这次发射对NASA来说算是一件大事,但比起NASA,它对SpaceX来说具有更重大的意义。该公司最近进行了一系列稳定的猎鹰9号发射以继续在地球轨道上建造其星链(Starlink)通信卫星群。不幸的是,对于正在进行的?

  • “找工作和老板谈”却是人力谈? BOSS直聘客服:HR是BOSS的一员

    有微博用户@袋Lite发文质疑,BOSS直聘的广告语是“找工作,我要和老板谈”,却还是跟人力谈,涉嫌广告欺诈。随后,BOSS直聘客服在微博回复称,BOSS直聘平台对Boss的定义是在企业中所有有资格招人、用人、决定一个人薪资以及工作内容的人,并表明HR也是BOSS的一员。

  • 热门标签

热文

  • 3 天
  • 7天