Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická

Publikováno: 07. 03. 2019, v rubrice: Bezpečnost, Zprávičky, autor: , zobrazeno: 824x

Hned na úvod uveďme, že závažnost zranitelnost CVE-2019-6977 není kritická, nýbrž jen vysoká, jak je ostatně vidět i na odkazované stránce.

A riziko zneužití této zranitelnosti je v mnoha případech dokonce i nízké. Chcete-li vědět proč, pak čtěte dále.

Zranitelnost vychází jako vysoká, protože je možné ji zneužít vzdáleně a zcela kompromitovat daný systém běžící na této zranitelné verzi WordPressu nahráním speciálně upraveného souboru. Proto i Impact Subscore dosahuje nejvyšších hodnot.

To, zda je Exploitability Subscore hodnoceno správně, ponechme nyní stranou, protože snížení Base Score o jeden bod výsledné hodnocení zranitelnosti stejně nemění, zůstává pořád vysoká.

Mnohem zajímavější je otázka, kolik WordPressů je záležitostí jednotlivce a kolik jich funguje v režimu skutečného redakčního systému, kdy více uživatelů může vytvářet obsah a využívá roli Author nikoliv jen Contributor, který již právo nahrávat soubory nemá, jak je uvedeno zde.

Skutečnost je taková, že je zde značně omezená skupina, která má oprávnění a motiv danou akci provést. Něco jiného by bylo, pokud by se tato zranitelnost dala zneužít kýmkoliv, kdo by si na daném webu založil účet a by default by získal roli Authora. Jenže takhle WordPress prostě nefunguje.

Jedná se tak opět o snahu o senzaci a bulvarizaci jedné zranitelnosti, které se neubránily ani důvěryhodné weby a kteroužto zprávu pak převzaly i ostatní servery.

Zde se opět ukazuje, že jen se závažností zranitelnosti se pracovat nedá, je třeba vyhodnotit i pravděpodobnost hrozby, a ta je např. v single user režimu prakticky nulová.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Byla objevena kritická zranitelnost v aplikaci JAVA
  2. NetUSB aneb další kritická zranitelnost v domácích routerech
  3. Byla objevena další kritická zranitelnost v Adobe Flash Playeru
  4. Misfortune Cookie aneb další kritická zranitelnost v domácích routerech
  5. Proč kritická zranitelnost automaticky neznamená kritické riziko

Štítky:


K článku “Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Další články na téma Wordpress

    Není zde žádný další příspěvek na dané téma, ale můžete jej napsat.

» Přejít do archivu «
1 článků