外媒 1 月 23 日消息,安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据,这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉,目前 ThreatPress 正在监视大量的数据源,以便实时向数据库中添加新的漏洞。
2017 年 ThreatPress 在其数据库中添加了 221 个漏洞,总数较之前减少了 69 %。数据显示, 跨站脚本(XSS)与 2016 年一样,仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出,才导致了越来越多的 WordPress 插件和主题受到跨站点脚本(XSS)漏洞的攻击。此外, SQL 注入漏洞在 2017 年也大幅上升。
令人惊讶的是,目前有许多网站受到 WordPress 插件中的漏洞威胁,据初步统计,安装插件的网站总数已达 17,101,300 + ,其中:
○ 易受攻击的插件 – 202
○ 易受攻击的主题 – 5
○ 受 WordPress.org 存储库漏洞影响的插件 – 153
○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24
WordPress 的三大漏洞
○ 跨站点脚本( XSS )
○ SQL 注入( SQLi )
○ 损坏的访问控制
按漏洞类型分类的插件 TOP 5 统计
○ XSS(跨站脚本) – 71
○ SQL注入 – 40
○ 不受限制的访问 – 20
○ 跨站请求伪造(CSRF) – 12
○ 多重攻击(Multi) – 10
在 2017 年受到漏洞影响的更受欢迎的 5 个插件
○ Yoast SEO(更流行的 SEO 插件) – 5,000,000 –> 受 XSS(跨站脚本)影响
○ WooCommerce(更流行的电子商务插件) – 3,000,000 –> 受 XSS(跨站脚本)影响
○ Smush 图像压缩和优化 – 1,000,000 –> 受 目录遍历 影响
○ Duplicator – 1,000,000 –> 受 XSS(跨站脚本)影响
○ Loginizer – 600,000 –> 受 SQL 注入影响
滞后的安全更新
○ WordPress 在 2017 年发布了 8 个安全更新。
○ 安全漏洞数据库中的漏洞总数为 3321 。
○ 之一个漏洞发现于 2005-02-20 。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次,而且该应用目前仍可下载(发稿时已下架)。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用,允许用户上传图片并将其转换为卡通...
早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(...
医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛...
据报道,全球最大的肉类供应商JBS在周日遭到了黑客的攻击,这是全球食品供应链所面临的又一威胁。此前,新冠疫情已经对全球食品供应链造成了较大影响。周一,JBS公司通过电子邮件向外界表示,公司服务器遭到黑客有组织的攻击,从而不得不关闭了位于北美和澳洲的计算机网络。 JBS表示,这起黑客攻击事件有可能会推...
报告显示,英国与COVID-19有关的网络犯罪数量在上升,与前三年的总和相比,去年被英国网络安全机构破获的骗局更多,而冠状病毒大流行正在助长这种趋势。根据国家网络安全中心(NCSC)的数据,专家们看到,与前一年相比,2020年处理的相关欺诈活动增加了15倍。 这份报告是在为期两天的CyberUK活...
据外媒BleepingComputer报道,保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。据该家媒体昨日报道,Avaddon勒索软件集团在其泄密网站上称,他们从安盛亚洲业务中窃取了3TB的敏感数据。 另外,BleepingComputer昨天观察到针对安盛全球网站...