Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická

Publikováno: 07. 03. 2019, v rubrice: Bezpečnost, Zprávičky, autor: , zobrazeno: 787x

Hned na úvod uveďme, že závažnost zranitelnost CVE-2019-6977 není kritická, nýbrž jen vysoká, jak je ostatně vidět i na odkazované stránce.

A riziko zneužití této zranitelnosti je v mnoha případech dokonce i nízké. Chcete-li vědět proč, pak čtěte dále.

Zranitelnost vychází jako vysoká, protože je možné ji zneužít vzdáleně a zcela kompromitovat daný systém běžící na této zranitelné verzi WordPressu nahráním speciálně upraveného souboru. Proto i Impact Subscore dosahuje nejvyšších hodnot.

To, zda je Exploitability Subscore hodnoceno správně, ponechme nyní stranou, protože snížení Base Score o jeden bod výsledné hodnocení zranitelnosti stejně nemění, zůstává pořád vysoká.

Mnohem zajímavější je otázka, kolik WordPressů je záležitostí jednotlivce a kolik jich funguje v režimu skutečného redakčního systému, kdy více uživatelů může vytvářet obsah a využívá roli Author nikoliv jen Contributor, který již právo nahrávat soubory nemá, jak je uvedeno zde.

Skutečnost je taková, že je zde značně omezená skupina, která má oprávnění a motiv danou akci provést. Něco jiného by bylo, pokud by se tato zranitelnost dala zneužít kýmkoliv, kdo by si na daném webu založil účet a by default by získal roli Authora. Jenže takhle WordPress prostě nefunguje.

Jedná se tak opět o snahu o senzaci a bulvarizaci jedné zranitelnosti, které se neubránily ani důvěryhodné weby a kteroužto zprávu pak převzaly i ostatní servery.

Zde se opět ukazuje, že jen se závažností zranitelnosti se pracovat nedá, je třeba vyhodnotit i pravděpodobnost hrozby, a ta je např. v single user režimu prakticky nulová.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Byla objevena kritická zranitelnost v aplikaci JAVA
  2. NetUSB aneb další kritická zranitelnost v domácích routerech
  3. Byla objevena další kritická zranitelnost v Adobe Flash Playeru
  4. Misfortune Cookie aneb další kritická zranitelnost v domácích routerech
  5. Proč kritická zranitelnost automaticky neznamená kritické riziko

Štítky:


K článku “Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Další články na téma Wordpress

    Není zde žádný další příspěvek na dané téma, ale můžete jej napsat.

» Přejít do archivu «
1 článků

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik