Qu’est-ce qui vient juste de se passer? Les vulnérabilités des plugins WordPress tiers ont considérablement augmenté en 2021, et beaucoup d’entre eux ont encore des exploits publics connus. La société de cybersécurité Risk Based Security a déclaré que 10 359 vulnérabilités affectaient les plugins WordPress tiers à la fin de l’année dernière, dont 2 240 ont été divulguées en 2021. C’est une augmentation de 142% par rapport à 2020, mais la plus grande préoccupation est le fait que 77 % de toutes les vulnérabilités connues des plugins WordPress – soit 7 993 d’entre elles – ont des exploits publics connus.

UNE regarder de plus près a révélé que 7 592 vulnérabilités du plugin WordPress sont exploitables à distance tandis que 4 797 ont un exploit public mais pas d’ID CVE. Pour les organisations qui s’appuient uniquement sur les CVE pour la hiérarchisation des mesures d’atténuation, cela signifie que plus de 60 % des vulnérabilités avec un exploit public ne seront même pas sur leur radar.

Un autre problème que la sécurité basée sur les risques a abordé pour les organisations est leur concentration sur la criticité plutôt que sur l’exploitabilité.

L’entreprise note que de nombreuses organisations classent les vulnérabilités avec un score de gravité CVSS inférieur à 7,0 comme n’étant pas hautement prioritaires, et ne les traitent donc pas tout de suite. C’est un problème étant donné que le score CVSS moyen pour toutes les vulnérabilités du plugin WordPress est de 5,5.

Sécurité basée sur les risques et autres ont observé des acteurs malveillants privilégiant les vulnérabilités non pas avec des scores de gravité élevés, mais plutôt celles qui peuvent être facilement exploitées. Compte tenu des données et des observations, il serait peut-être judicieux pour certaines organisations de reconsidérer leurs protocoles de gestion des menaces.

Crédit image : Justin Morgan