Компания Patchstack, специализирующаяся на безопасности WordPress, представила комплексный анализ уязвимостей популярной CMS за 2023 год. Исследование выявило 7966 новых уязвимостей, причем подавляющее большинство проблем обнаружено в плагинах и темах, а не в основном коде платформы.
Распределение уязвимостей в экосистеме WordPress
Анализ показывает, что ядро WordPress остается достаточно защищенным — только семь уязвимостей затрагивали базовую систему. Наибольшую угрозу представляют сторонние компоненты: 96% всех уязвимостей (7633) обнаружены в плагинах, и лишь 4% (326) — в темах оформления.
Масштаб потенциального воздействия
Особую озабоченность вызывает тот факт, что 1018 уязвимостей затронули плагины с более чем 100 000 активных установок. Более того, 115 уязвимых плагинов имели свыше 1 миллиона установок каждый, а семь из них достигли отметки в 10 миллионов инсталляций.
Анализ критичности и векторов атак
По оценке экспертов Patchstack, большинство обнаруженных уязвимостей имеют низкий уровень риска: 69,6% классифицированы как маловероятные для эксплуатации, 18,8% могут использоваться в целевых атаках, и только 11,6% подвержены активной эксплуатации. Примерно треть уязвимостей получили высокий или критический рейтинг по шкале CVSS.
Типы уязвимостей и условия эксплуатации
Наиболее распространенными типами уязвимостей стали: межсайтовый скриптинг (XSS) — 47,7%, нарушения контроля доступа — 14,19% и CSRF-атаки — 11,35%. Важно отметить, что 43% уязвимостей можно было эксплуатировать без аутентификации, еще 43% требовали базовых привилегий, а 12% — расширенных прав доступа.
Исследование выявило серьезную проблему в экосистеме WordPress: 33% обнаруженных уязвимостей оставались без исправлений до момента публичного раскрытия информации. Это указывает на необходимость более оперативного реагирования со стороны разработчиков плагинов и внедрения улучшенных практик безопасной разработки для защиты миллионов пользователей WordPress во всем мире.