La National Vulnerability Database del govern dels Estats Units va publicar una notificació d’una vulnerabilitat descoberta al connector oficial de WordPress Gutenberg. Però segons la persona que el va trobar, es diu que WordPress no ha reconegut que és una vulnerabilitat.
Vulnerabilitat de scripting entre llocs emmagatzemats (XSS).
XSS és un tipus de vulnerabilitat que passa quan algú pot carregar alguna cosa com un script que normalment no es permetria mitjançant un formulari o un altre mètode.
La majoria de formularis i altres entrades del lloc web validaran que el que s’està actualitzant s’espera i filtraran els fitxers perillosos.
Un exemple és un formulari per penjar una imatge que no aconsegueix bloquejar un atacant perquè carregui un script maliciós.
Segons l’Open Web Application Security Project sense ànim de lucre, una organització centrada a ajudar a millorar la seguretat del programari, això és el que pot passar amb un atac XSS reeixit:
“Un atacant pot utilitzar XSS per enviar un script maliciós a un usuari desprevingut.
El navegador de l’usuari final no té cap manera de saber que l’script no s’ha de confiar i executarà l’script.
Com que creu que l’script prové d’una font de confiança, l’script maliciós pot accedir a qualsevol galeta, testimoni de sessió o altra informació sensible retinguda pel navegador i utilitzada amb aquest lloc.
Aquests scripts poden fins i tot reescriure el contingut de la pàgina HTML.
Vulnerabilitats i exposicions comunes – CVE
Una organització anomenada CVE serveix com a forma de documentar les vulnerabilitats i donar a conèixer els descobriments al públic.
L’organització, que dóna suport al Departament de Seguretat Nacional dels EUA, examina els descobriments de vulnerabilitats i, si s’accepta, assignarà a la vulnerabilitat un número CVE que serveixi de número d’identificació d’aquesta vulnerabilitat específica.
Descobriment de la vulnerabilitat a Gutenberg
La investigació de seguretat va descobrir el que es creia que era una vulnerabilitat. El descobriment es va enviar al CVE, i el descobriment es va aprovar i se li va assignar un número d’identificació CVE, convertint el descobriment en una vulnerabilitat oficial.
La vulnerabilitat XSS va rebre el número d’identificació CVE-2022-33994.
L’informe de vulnerabilitat que es va publicar al lloc CVE conté aquesta descripció:
“El connector Gutenberg a través de 13.7.3 per a WordPress permet emmagatzemar XSS pel rol de col·laborador mitjançant un document SVG a la funció “Insereix des de l’URL”.
NOTA: la càrrega útil XSS no s’executa en el context del domini de la instància de WordPress; tanmateix, els intents anàlegs d’usuaris amb privilegis baixos per fer referència a documents SVG estan bloquejats per alguns productes similars, i aquesta diferència de comportament pot tenir rellevància per a la seguretat d’alguns administradors de llocs de WordPress.
Això vol dir que algú amb privilegis de nivell de col·laborador pot provocar que s’insereixi un fitxer maliciós al lloc web.
La manera de fer-ho és inserint la imatge a través d’una URL.
A Gutenberg, hi ha tres maneres de pujar una imatge.
- Carregueu-lo
- Trieu una imatge existent de la biblioteca de mitjans de WordPress
- Insereix la imatge des d’una URL
Aquest darrer mètode és d’on ve la vulnerabilitat perquè, segons l’investigador de seguretat, es pot carregar una imatge amb qualsevol nom de fitxer d’extensió a WordPress mitjançant una URL, que la funció de càrrega no permet.
És realment una vulnerabilitat?
L’investigador va informar de la vulnerabilitat a WordPress. Però segons la persona que el va descobrir, WordPress no ho va reconèixer com una vulnerabilitat.
Això és el que va escriure l’investigador:
“He trobat una vulnerabilitat de Stored Cross Site Scripting a WordPress que va ser rebutjada i va ser etiquetada com a informativa per l’equip de WordPress.
Avui és el 45è dia des que vaig informar de la vulnerabilitat i, tanmateix, la vulnerabilitat no està arreglada en el moment d’escriure això…”
Per tant, sembla que hi ha una pregunta sobre si WordPress és correcte i la fundació CVE recolzada pel govern dels EUA està equivocada (o viceversa) sobre si es tracta d’una vulnerabilitat XSS.
L’investigador insisteix que es tracta d’una vulnerabilitat real i ofereix l’acceptació de CVE per validar aquesta afirmació.
A més, l’investigador implica o suggereix que la situació en què el connector de WordPress Gutenberg permet pujar imatges mitjançant una URL pot no ser una bona pràctica, assenyalant que altres empreses no permeten aquest tipus de càrrega.
“Si això és així, digueu-me per què… …empreses com Google i Slack van arribar a validar els fitxers que es carreguen a través d’una URL i rebutjar els fitxers si es troba que eren SVG!
… Google i Slack… no permeten que els fitxers SVG es carreguin a través d’un URL, com ho fa WordPress!
Què fer?
WordPress no ha emès una solució per a la vulnerabilitat perquè sembla que no creuen que és una vulnerabilitat o que presenta un problema.
L’informe oficial de vulnerabilitat indica que les versions de Gutenberg fins a la 13.7.3 contenen la vulnerabilitat.
Però 13.7.3 és la versió més actual.
Segons el registre de canvis oficial de WordPress Gutenberg que registra tots els canvis passats i també publica una descripció dels canvis futurs, no hi ha hagut cap solució per a aquesta (presumpta) vulnerabilitat i no n’hi ha cap previst.
Per tant, la pregunta és si hi ha alguna cosa per arreglar o no.
Citacions
Informe de la base de dades de vulnerabilitats del govern dels EUA sobre la vulnerabilitat
Informe publicat al lloc oficial de CVE
Llegeix les conclusions de l’investigador
CVE-2022-33994:- XSS emmagatzemat a WordPress
Imatge destacada de Shutterstock/Kues
