CVE-2024-1071 „WordPress“ papildinio pažeidžiamumas
Didelis saugos pažeidžiamumas buvo atskleistas Ultimate Member – plačiai naudojamame „WordPress“ papildinyje, kuriame įdiegta daugiau nei 200 000 aktyvių diegimų. Šis trūkumas, identifikuotas kaip CVE-2024-1071, pelnė aukštą CVSS balą – 9,8 balo iš 10, jį atskleidė ir pranešė saugumo tyrinėtojas Christiaanas Swiersas. Kaip išsamiai aprašyta neseniai paskelbtame „WordPress“ saugos įmonės „Wordfence“ patarime, papildinys (2.1.3–2.8.2 versijos) yra jautrus SQL įpurškimui per „rūšiavimo“ parametrą dėl netinkamo vartotojo pateiktų parametrų pašalinimo ir nepakankamo pasiruošimo esama SQL užklausa.
Šia spraga gali pasinaudoti neautentifikuoti užpuolikai, norėdami į dabartines užklausas įterpti papildomų SQL užklausų, todėl iš duomenų bazės gali būti išgaunami jautrūs duomenys. Labai svarbu pažymėti, kad ši problema turi įtakos naudotojams, kurie papildinio nustatymuose pasirinko parinktį „Įgalinti tinkintą lentelę naudotojo meta“.
2024 m. sausio 30 d., atsakingai atskleidus informaciją, įskiepių kūrėjai nedelsdami pašalino pažeidžiamumą, vasario 19 d. išleisdami 2.8.3 versiją. Vartotojams primygtinai rekomenduojama nedelsiant atnaujinti savo papildinius į naujausią versiją, kad būtų sumažinta galima rizika, ypač atsižvelgiant į tai, kad Wordfence jau sutrukdė per pastarąsias 24 valandas vienas išpuolis, bandantis išnaudoti trūkumą.
Pažymėtina, kad panašiu pažeidžiamumu (CVE-2023-3460, CVSS balas: 9,8) tame pačiame papildinyje 2023 m. liepos mėn. grėsmės veikėjai aktyviai piktnaudžiavo. Pasinaudoję šia klaida jie galėjo sukurti neteisėtus administratorius ir perimti pažeidžiamų svetainių kontrolę.
Kas yra pažeidžiamumo vieninga CVE vertinimo sistema?
Bendra pažeidžiamumo vertinimo sistema (CVSS) yra standartizuota balų sistema, naudojama programinės įrangos sistemų pažeidžiamumui įvertinti ir apie juos pranešti. Ji suteikia bendrą sistemą organizacijoms ir asmenims įvertinti saugumo spragų poveikį. CVSS sukurta taip, kad būtų agnostinė pardavėjų atžvilgiu ir yra plačiai taikoma kibernetinio saugumo bendruomenėje.
CVSS pažeidžiamoms vietoms priskiria skaitinį balą, atsižvelgdamas į įvairius veiksnius, įskaitant pažeidžiamumo išnaudojamumą, poveikį paveiktos sistemos konfidencialumui, vientisumui ir prieinamumui ir tai, ar pažeidžiamumui išnaudoti reikia vartotojo sąveikos. Balai svyruoja nuo 0 iki 10, o aukštesni balai rodo sunkesnius pažeidžiamumus.
CVSS buvo peržiūrėtas keliomis versijomis, o naujausia versija, mano žiniomis, 2022 m. sausio mėn. yra CVSSv3.1. Tai suteikia rafinuotesnį ir tikslesnį pažeidžiamumų įvertinimą, palyginti su ankstesnėmis versijomis.
Kita vertus, „Bendrųjų pažeidžiamumų ir galimų problemų“ (CVE) sistema yra atskira iniciatyva, kuri viešai atskleistoms pažeidžiamoms vietoms priskiria unikalius identifikatorius, vadinamus CVE ID. CVE sistema pati nepateikia sunkumo balų. Vietoj to, jis dažnai naudojamas kartu su CVSS, siekiant unikaliai nustatyti ir įvertinti pažeidžiamumą.
