Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická

Hned na úvod uveďme, že závažnost zranitelnost CVE-2019-6977 není kritická, nýbrž jen vysoká, jak je ostatně vidět i na odkazované stránce.

A riziko zneužití této zranitelnosti je v mnoha případech dokonce i nízké. Chcete-li vědět proč, pak čtěte dále.

Zranitelnost vychází jako vysoká, protože je možné ji zneužít vzdáleně a zcela kompromitovat daný systém běžící na této zranitelné verzi WordPressu nahráním speciálně upraveného souboru. Proto i Impact Subscore dosahuje nejvyšších hodnot.

To, zda je Exploitability Subscore hodnoceno správně, ponechme nyní stranou, protože snížení Base Score o jeden bod výsledné hodnocení zranitelnosti stejně nemění, zůstává pořád vysoká.

Mnohem zajímavější je otázka, kolik WordPressů je záležitostí jednotlivce a kolik jich funguje v režimu skutečného redakčního systému, kdy více uživatelů může vytvářet obsah a využívá roli Author nikoliv jen Contributor, který již právo nahrávat soubory nemá, jak je uvedeno zde.

Skutečnost je taková, že je zde značně omezená skupina, která má oprávnění a motiv danou akci provést. Něco jiného by bylo, pokud by se tato zranitelnost dala zneužít kýmkoliv, kdo by si na daném webu založil účet a by default by získal roli Authora. Jenže takhle WordPress prostě nefunguje.

Jedná se tak opět o snahu o senzaci a bulvarizaci jedné zranitelnosti, které se neubránily ani důvěryhodné weby a kteroužto zprávu pak převzaly i ostatní servery.

Zde se opět ukazuje, že jen se závažností zranitelnosti se pracovat nedá, je třeba vyhodnotit i pravděpodobnost hrozby, a ta je např. v single user režimu prakticky nulová.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: