Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická

Hned na úvod uveďme, že závažnost zranitelnost CVE-2019-6977 není kritická, nýbrž jen vysoká, jak je ostatně vidět i na odkazované stránce.

A riziko zneužití této zranitelnosti je v mnoha případech dokonce i nízké. Chcete-li vědět proč, pak čtěte dále.

Zranitelnost vychází jako vysoká, protože je možné ji zneužít vzdáleně a zcela kompromitovat daný systém běžící na této zranitelné verzi WordPressu nahráním speciálně upraveného souboru. Proto i Impact Subscore dosahuje nejvyšších hodnot.

To, zda je Exploitability Subscore hodnoceno správně, ponechme nyní stranou, protože snížení Base Score o jeden bod výsledné hodnocení zranitelnosti stejně nemění, zůstává pořád vysoká.

Mnohem zajímavější je otázka, kolik WordPressů je záležitostí jednotlivce a kolik jich funguje v režimu skutečného redakčního systému, kdy více uživatelů může vytvářet obsah a využívá roli Author nikoliv jen Contributor, který již právo nahrávat soubory nemá, jak je uvedeno zde.

Skutečnost je taková, že je zde značně omezená skupina, která má oprávnění a motiv danou akci provést. Něco jiného by bylo, pokud by se tato zranitelnost dala zneužít kýmkoliv, kdo by si na daném webu založil účet a by default by získal roli Authora. Jenže takhle WordPress prostě nefunguje.

Jedná se tak opět o snahu o senzaci a bulvarizaci jedné zranitelnosti, které se neubránily ani důvěryhodné weby a kteroužto zprávu pak převzaly i ostatní servery.

Zde se opět ukazuje, že jen se závažností zranitelnosti se pracovat nedá, je třeba vyhodnotit i pravděpodobnost hrozby, a ta je např. v single user režimu prakticky nulová.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2019. Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kriticka-zranitelnost-s-cve-2019-6977-ve-wordpressu-neni-vubec-kriticka/. [citováno 08.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Kritická zranitelnost s CVE-2019-6977 ve WordPressu není vůbec kritická” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: