Минулого тижня було виявлено 117 уразливостей у програмному забезпеченні на базі WordPress, які було додано до бази даних уразливостей Wordfence Intelligence. Сюди входять вразливості ядра, тем та плагінів WordPress.
Ця база даних постійно оновлюється, підтримується та наповнюється висококваліфікованими та досвідченими дослідниками вразливостей Wordfence шляхом власного дослідження вразливостей, надсилання дослідниками вразливостей за допомогою форми запиту CVE та моніторингу різних джерел для збору всієї загальнодоступної інформації про вразливості WordPress і додавання додаткового контексту, де це можливо.
“Наша місія з Wordfence Intelligence полягає в тому, щоб зробити цінну інформацію про вразливості легко доступною для всіх, як-от для спільноти WordPress, щоб окремі особи та організації могли використовувати ці дані, щоб зробити Інтернет більш безпечним. Ось чому користувальницький інтерфейс Wordfence Intelligence та API уразливостей абсолютно вільні для доступу та використання як особисто, так і комерційно”, – зазначають в організації.
Загальна кількість невиправлених і виправлених уразливостей минулого тижня
Статус виправлення | Кількість вразливостей |
Без латок | 44 |
Залатаний | 73 |
Загальна кількість вразливостей за ступенем серйозності CVSS минулого тижня
Рейтинг серйозності | Кількість вразливостей |
Низька серйозність | 1 |
Середній ступінь тяжкості | 104 |
Високий ступінь тяжкості | 10 |
Критична серйозність | 2 |
Загальна кількість вразливостей за типом CWE минулого тижня
Тип уразливості за CWE | Кількість вразливостей |
Міжсайтова підробка запитів (CSRF) | 53 |
Неправильна нейтралізація вхідних даних під час генерації веб-сторінки («Міжсайтовий сценарій») | 34 |
Відсутня авторизація | 16 |
Неналежна нейтралізація спеціальних елементів, що використовуються в команді SQL (“SQL-ін’єкція”) | 2 |
Інформаційний вплив | 2 |
Обхід авторизації через керований користувачем ключ | 2 |
Підробка запитів на стороні сервера (SSRF) | 2 |
Неправильне призначення привілеїв | 1 |
Необмежене завантаження файлу небезпечного типу | 1 |
Неналежна нейтралізація спеціальних елементів у вихідних даних, що використовуються нижчим компонентом («Ін’єкція») | 1 |
Відмова механізму захисту | 1 |
Неналежний контроль імені файлу для оператора Include/Require у програмі PHP (“віддалене включення файлу PHP”) | 1 |
Неналежна перевірка значення перевірки цілісності | 1 |