WordPress– wpDiscuz plugin sérülékenység

CH azonosító: CH-14912 Cím: Wordpress– wpDiscuz plugin sérülékenység Angol cím: Wordpress– wpDiscuz plugin vulnerability

Publikálás dátuma: 2020.06.23. Utolsó módosítás dátuma: 2020.06.23.


Leírás

A CVE-2020-13640 számon a WordPress wpDiscuz plugin magas kockázati besorolású sérülékenysége vált ismertté.  A biztonsági rés lehetővé teszi a távoli támadó számára, hogy tetszőleges SQL lekérdezéseket hajtson végre az adatbázisban.

Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Leírás utolsó módosítása: 2020.06.23.


Elemzés leírás

A WordPress nyílt forráskódú, PHP alapú tartalomkezelő és blog rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra.  A wpDiscuz  a WordPress  egyik hozzászólás bővítménye, hozzászólások engedélyezésére, kezelésére szolgál. A most ismertetett sérülékenység a felhasználó által küldött adatok nem megfelelő validálásából adódik. Sikeres kihasználás esetén a támadó speciálisan kialakított kérelmet küldhet az érintett alkalmazásnak és tetszőleges SQL parancsokat hajthat végre az alkalmazás adatbázisában, illetve a távoli támadó elolvashatja, törölheti, módosíthatja az adatbázisban található adatokat, és teljes hozzáférést szerezhet az érintett alkalmazás felett.

Érintett szoftververziók:
5.3.5 és az azt megelőző verziók.

Hibajavítás:
A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.

Elemzés leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Elemzés leírás utolsó módosítása: 2020.06.23.


Hatás

CVSS3 Severity and Metrics

Base score: 9,8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5,9
Exploitability Score: 3,9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 7,5 (Magas)
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)
Impact Subscore: 6,4
Exploitability Subscore: 10


Access Complexity (AC): Low
Confidentiality Impact (C): Partial
Integrity Impact (S): Partial
Availability Impact (A):


Hivatkozások

Egyéb referencia: www.cybersecurity-help.cz
CVE-2020-13640 - NVD CVE-2020-13640