Báo Cáo Xác Nhận Sự Tăng Cường Các Lỗ Hổng Trong WordPress
Dữ liệu xác nhận sự tăng cường các lỗ hổng trong WordPress và chúng có mức độ nghiêm trọng cao hơn
Phần 1: XSS - Lỗ Hổng Phổ Biến Nhất Trong WordPress Năm 2023
Có nhiều loại lỗ hổng nhưng phổ biến nhất cho đến nay là lỗ hổng cross site scripting (XSS), chiếm 53,3% trong tổng số lỗ hổng bảo mật WordPress mới.
Lỗ hổng XSS thường xảy ra do 'sự thiếu kiểm tra' đầu vào của người dùng, bao gồm việc chặn bất kỳ đầu vào nào không phù hợp với những gì được mong đợi. Patchstack chia sẻ rằng framework Freemius, một nền tảng thương mại điện tử được quản lý bên thứ ba, chiếm hơn 1.200 trong tổng số lỗ hổng XSS, tương đương với 21% số lỗ hổng XSS mới được phát hiện trong năm 2023.
Phần mềm phát triển SDK của Freemius được sử dụng như một thành phần của hơn 1.200 plugin, từ đó tạo ra hơn 7 triệu trang web WordPress. Điều này làm nổi bật vấn đề về lỗ hổng chuỗi cung ứng khi một thành phần được sử dụng như một phần của một plugin WordPress, từ đó tăng phạm vi của lỗ hổng vượt xa chỉ là một plugin.
Phần 2: Nhiều Lỗ Hổng Được Xếp Hạng Cao Hoặc Nghiêm Trọng
Các lỗ hổng được gán điểm nghiêm trọng tương ứng với mức độ gây rối loạn của lỗi được phát hiện. Các xếp hạng từ thấp, trung bình, cao và nghiêm trọng.
Trong năm 2022, 13% lỗ hổng mới được phân loại là cao hoặc nghiêm trọng. Tỷ lệ này tăng vọt lên 42,9% trong năm 2023, có nghĩa là có nhiều lỗ hổng phá hủy hơn trong năm 2023 so với năm trước.
Phần 3: Lỗ Hổng Cần Xác Thực So Với Lỗ Hổng Không Cần Xác Thực
Một số liệu khác nổi bật trong báo cáo là phần trăm lỗ hổng không yêu cầu xác thực (không cần xác thực), có nghĩa là kẻ tấn công không cần bất kỳ cấp độ quyền hạn người dùng nào để tiến hành tấn công.
Các lỗi yêu cầu kẻ tấn công phải có cấp độ quyền hạn từ người đăng ký đến cấp độ quản trị có một rào cản cao cho kẻ tấn công vượt qua. Các lỗ hổng không cần xác thực không yêu cầu kẻ tấn công phải trước tiên có được một cấp độ quyền hạn, điều này làm cho những loại lỗ hổng này đáng lo ngại hơn vì chúng có thể bị khai thác thông qua các cuộc tấn công tự động như với bot quét trang web để tìm lỗ hổng sau đó tự động tiến hành tấn công.
Patchstack phát hiện rằng 58,9% tổng số lỗ hổng mới không yêu cầu xác thực nào cả.
