Vulnerabilità riscontrata nel plugin Gutenberg di WordPress?

Il National Vulnerability Database del governo degli Stati Uniti ha pubblicato una notifica di una vulnerabilità scoperta nel plugin Gutenberg ufficiale di WordPress. Ma secondo la persona che l'ha trovato, si dice che WordPress non abbia riconosciuto che si tratta di una vulnerabilità.

Vulnerabilità Stored Cross-Site Scripting (XSS).

XSS è un tipo di vulnerabilità che si verifica quando qualcuno può caricare qualcosa come uno script che normalmente non sarebbe consentito tramite un modulo o un altro metodo.

La maggior parte dei moduli e altri input del sito Web convalideranno che ciò che viene aggiornato è previsto e filtreranno i file pericolosi.

Un esempio è un modulo per caricare un'immagine che non riesce a impedire a un utente malintenzionato di caricare uno script dannoso.

Secondo l'Open Web Application Security Project, un'organizzazione senza scopo di lucro focalizzata sull'aiutare a migliorare la sicurezza del software, questo è ciò che può accadere con un attacco XSS riuscito:

“Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro.

Il browser dell'utente finale non ha modo di sapere che lo script non deve essere considerato attendibile ed eseguirà lo script.

Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altra informazione sensibile conservata dal browser e utilizzata con quel sito.

Questi script possono persino riscrivere il contenuto della pagina HTML".

Vulnerabilità ed esposizioni comuni – CVE

Un'organizzazione denominata CVE serve come mezzo per documentare le vulnerabilità e pubblicizzare le scoperte al pubblico.

L'organizzazione, supportata dal Dipartimento per la sicurezza interna degli Stati Uniti, esamina le scoperte di vulnerabilità e, se accettata, assegnerà alla vulnerabilità un numero CVE che funge da numero di identificazione di quella specifica vulnerabilità.

Scoperta della vulnerabilità a Gutenberg

La ricerca sulla sicurezza ha scoperto quella che si credeva fosse una vulnerabilità. La scoperta è stata inviata al CVE e la scoperta è stata approvata e gli è stato assegnato un numero ID CVE, rendendo la scoperta una vulnerabilità ufficiale.

Alla vulnerabilità XSS è stato assegnato il numero ID CVE-2022-33994.

Il report di vulnerabilità pubblicato sul sito CVE contiene questa descrizione:

"Il plug-in Gutenberg fino alla 13.7.3 per WordPress consente l'XSS memorizzato dal ruolo di collaboratore tramite un documento SVG alla funzione "Inserisci da URL".

NOTA: il payload XSS non viene eseguito nel contesto del dominio dell'istanza di WordPress; tuttavia, tentativi analoghi da parte di utenti con privilegi bassi di fare riferimento a documenti SVG sono bloccati da alcuni prodotti simili e questa differenza comportamentale potrebbe avere rilevanza per la sicurezza per alcuni amministratori di siti WordPress".

Ciò significa che qualcuno con privilegi a livello di collaboratore può causare l'inserimento di un file dannoso nel sito Web.

Il modo per farlo è inserendo l'immagine tramite un URL.

In Gutenberg, ci sono tre modi per caricare un'immagine.

1. Caricalo
2. Scegli un'immagine esistente dalla libreria multimediale di WordPress
3. Inserisci l'immagine da un URL

Quest'ultimo metodo è da dove proviene la vulnerabilità perché, secondo il ricercatore di sicurezza, è possibile caricare un'immagine con qualsiasi nome di file di estensione su WordPress tramite un URL, cosa che la funzione di caricamento non consente.

È davvero una vulnerabilità?

Il ricercatore ha segnalato la vulnerabilità a WordPress. Ma secondo la persona che l'ha scoperto, WordPress non l'ha riconosciuto come una vulnerabilità.

Questo è quanto ha scritto il ricercatore:

“Ho trovato una vulnerabilità di Stored Cross Site Scripting in WordPress che è stata rifiutata ed è stata etichettata come informativa dal team di WordPress.

Oggi è il 45° giorno da quando ho segnalato la vulnerabilità e tuttavia la vulnerabilità non è stata corretta al momento della stesura di questo…”

Quindi sembra che ci sia una domanda se WordPress abbia ragione e la fondazione CVE supportata dal governo degli Stati Uniti abbia torto (o viceversa) sul fatto che si tratti di una vulnerabilità XSS.

Il ricercatore insiste sul fatto che questa è una vera vulnerabilità e offre l'accettazione del CVE per convalidare tale affermazione.

Inoltre, il ricercatore implica o suggerisce che la situazione in cui il plug-in Gutenberg di WordPress consente di caricare immagini tramite un URL potrebbe non essere una buona pratica, osservando che altre società non consentono questo tipo di caricamento.

“Se è così, allora dimmi perché… …aziende come Google e Slack sono arrivate al punto di convalidare i file che vengono caricati su un URL e di rifiutare i file se si scopre che sono SVG!

…Google e Slack… non consentono il caricamento di file SVG su un URL, cosa che fa WordPress!”

Cosa fare?

WordPress non ha emesso una correzione per la vulnerabilità perché sembra non credere che si tratti di una vulnerabilità o di un problema.

Il rapporto ufficiale sulla vulnerabilità afferma che le versioni di Gutenberg fino alla 13.7.3 contengono la vulnerabilità.

Ma 13.7.3 è la versione più recente.

Secondo il log delle modifiche Gutenberg ufficiale di WordPress che registra tutte le modifiche passate e pubblica anche una descrizione delle modifiche future, non sono state apportate correzioni a questa (presunta) vulnerabilità e non ne sono previste.

Quindi la domanda è se c'è o meno qualcosa da sistemare.

Citazioni

Rapporto del database sulla vulnerabilità del governo degli Stati Uniti sulla vulnerabilità

CVE-2022-33994 Dettaglio

Report pubblicato sul sito ufficiale di CVE

CVE-2022-33994 Dettaglio

Leggi i risultati del ricercatore

CVE-2022-33994:- XSS memorizzato in WordPress

Immagine in primo piano di Shutterstock/Kues