首页 > 业界 > 关键词  > wordpress最新资讯  > 正文

安全人员发现去年可利用的WordPress插件漏洞数量爆炸性增长

2022-01-14 07:55 · 稿源: cnbeta

去年安全分析人员发现可利用的WordPress插件漏洞的数量爆炸性增长。来自RiskBased Security的研究人员报告说,他们发现在2021年,WordPress插件漏洞的数量增加了三位数。

据报道,在2021年底,有10359个漏洞影响第三方WordPress插件,其中,2240个漏洞是在去年披露的,与2020年相比,漏洞数量增加了142%。更糟糕的是,在这些额外的WordPress插件漏洞中,超过四分之三(77%)是已知的、公开的漏洞。

报告发现,有7592个WordPress漏洞可被远程利用,7993个漏洞有公开利用,4797个WordPress漏洞有公开利用,但没有CVE ID。换句话说,依靠CVE组织无法得知60%公开的WordPress插件漏洞。

根据RiskBased团队的说法,对新出现的WordPress攻击面的正确反应是,从根据风险对组织的重要性来确定资源的优先次序,转而关注最容易被利用的漏洞。平均而言,所有WordPress插件漏洞的CVSSv2得分是5.5,根据许多当前的虚拟机框架,这充其量被认为是一个中等风险,但是使用WordPress的企业不能让这些容易被威胁者利用的机会陷入积压的补丁中。

该小组指出,1月10日网络安全和基础设施安全局(CISA)对约束性操作指令的更新,概述了针对联邦网络的漏洞和积极威胁。该更新同样将容易利用的漏洞置于CVSS分数较高的漏洞之上,这表明,恶意行为者并不青睐CVSS严重性高的漏洞,而是选择那些他们容易利用的漏洞。

举报

  • 相关推荐
  • 大家在看
  • 全研究人员警告iPhone存在关机后仍可被恶意利用漏洞隐患

    虽然尚无证据表明该漏洞已被野外利用、甚至可能需要搭配其它攻击手段,但对于设备制造商苹果来说,这依然是个相当烫手的山芋...如果你已经已经放权,那这里提到的蓝牙芯片漏洞利用可能就是多此一举了...庆幸的是,安全研究员 Ryan Duff 表示:“在缺乏额外漏洞利用的情况下,攻击者难以单独借此发起攻击”...但若攻击者有机会直接利用到蓝牙芯片并修改固件(目前尚不知晓有类似的漏洞利用),事情就会变得相当棘手...即使 iPhone 处于关机状态,黑客仍可利用该漏洞来定位用户设备......

  • CandyCode系统:可利用糖果装饰品来判断药品是否为真品

    他的CandyCode系统有朝一日可能会被用来确认所谓的真药实际上不是假药...当消费者随后想要检查他们的药物是否是真实的,他们首先要用他们的智能手机拍下其中一个药丸的照片...每颗糖果上平均有92颗塘珠,总共有8种随机混合的颜色...即使在糖果被敲打了一下--以模拟运输和处理的严格要求后,人们发现随后拍摄的糖果照片可以很容易地跟数据库中的字符串相匹配...更重要的是,在试验将塘珠撒在泰诺药片上时,Grover还发现了CandyCode系统的一个额外好处......

  • 特斯拉可能会将完全自动驾驶测试人员数量扩大十倍

    测试人群已经有10万名司机,特斯拉正在考虑将测试人员的数量扩大到100万,这可能会在2022年底之前实现...埃隆马斯克昨天在迈阿密参加了“All In Sumit”技术会议,在会议上马斯克讨论了各种话题,但其中最有趣的是他计划扩大FSD自动驾驶的测试司机数量...测试计划的增加不仅将使更多驾驶员受益,而且特斯拉的FSD自动驾驶套件也将随着每公里的测试行驶而变得更加准确和复杂...

  • 黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安隐患

    iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备...在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门......

  • 研究人员开始利用引力波探测暗物质的性质

    现代宇宙学中最大的困惑之一是暗物质的存在,它构成了宇宙中的大部分物质。一个国际科学家团队最近的研究利用引力波来探测暗物质的性质。这项研究最近发表在《天体物理学杂志通讯》上。一些天文观测已经确定了暗物质的存在,它只通过引力与常规物质发生作用。暗物质不发出任何光,因此逃避了直接的天文观测。银河系,包括我们自己的银河系,都被暗物质的光环所包围,其大小比可见的银河系延伸得更远。 粒子物理学的标准模型描述了构成所有正常物质的所有基本粒子。标准模型没有描述的粒子可能存在于宇宙中,并可能构成暗物质。在过去的几?

  • 研究人员发现Apple Silicon芯片存在缺陷 但"没有那么糟糕"

    研究人员发现了Apple Silicon芯片中存在的一个微架构缺陷,该缺陷可能导致数据泄露,不过他们表示目前没有什么可担心的。所谓的Augury缺陷是由伊利诺伊大学香槟分校的Jose Rodrigo Sanchez Vicarte和华盛顿大学的Michael Flanders领导的一个研究小组发现的。Vicarte、Flanders和该团队的其他成员最近在一篇新论文中公布了该缺陷的细节。据研究人员称,该缺陷存在于Apple Silicon芯片中的数据-内存依赖预取器(DMP)。DMP决定预取哪些内存内容,这项技术在学术界很有名,但还没有在商业产品中部署。 "经典的预取器只看以前访问的地址流。DM

  • Google SMTP服务被利用来发送欺骗邮件

    我们中的大多数人不会过多地考虑我们的电子邮件上的"发件人"地址栏,它通常是由邮件程序或网络服务填写的。在收件人的一端,安全工具可以对照发送服务器检查这个地址,以验证邮件是否合法。但服务器和收件箱之间的SMTP中转服务器会允许邮件通过,即使地址不匹配,这就是为什么一些营销组织可以在不被阻止的情况下发送群发邮件。而Gmail恰好有SMTP中转设施,使得通过Google服务器发送非Gmail邮件成为可能。Avanan公司的研究人员发现,黑客正在操纵Google的服务,伪装成有信誉的品牌,发送成千上万的电子邮件,绕过安全工具,直接进入用户的

  • Check Point发现音频解码器漏洞球三分之二安卓用户面临风险

    Check Point Research 在两家最大的移动芯片制造商 - 高通和联发科的音频解码器中发现了漏洞...经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 ,也称为 Apple 无损...联发科将漏洞命名为 CVE-2021-0674 和 CVE-2021-0675...近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件......

  • 理论粒子物理学中发现新的、令人惊讶的二元

    在理论粒子物理学中发现了一个新的和令人惊讶的二元性。该二元性存在于两种类型的散射过程之间,它们可能发生在瑞士和法国欧洲核子研究中心的大型强子对撞机(LHC)中的质子对撞。令人惊讶的是,能够建立这种联系的事实表明,在粒子物理学标准模型的精细错综复杂的过程中,有一些现象并没有被完全理解。标准模型是描述所有粒子及其相互作用的亚原子尺度的世界图景,因此当意外发生时,就会引起人们的注意。这篇科学文章现在已经发表在《物理评论快报》杂志上。物理学中的二元性二元性的概念出现在物理学的不同领域。最著名的二元性可以说?

  • Crossword-Solver分享球表情符号调查报告:“笑哭”使用率最高

    尽管表情符号(Emoji)已经存在了数十年,但直到 2010 年代被 Android / iOS 移动操作系统给引入,其发展才走上了一条快车道。得益于允许人们用一种更形象的方式(而不仅仅是枯燥的文字)来传达情感,其已逐渐成为现在数字通讯过程中不可不缺的一环。有趣的是,在最近整理出的一份详细报告中,Crossword-Solver 又对世界各地的表情符号使用情况进行了分析汇总。 Twitter 平台为例,Crossword-Solver 统计出“笑哭”在 75 个市场区域都排名第一。与排名第二的红色爱心相比,前者领先幅度多达 19% 。至于美国市场,尽管各州的情况不尽相同,

今日大家都在搜的词: