Luka w zabezpieczeniach wtyczki WordPress Gutenberg?

Narodowa baza danych dotyczących luk w zabezpieczeniach rządu Stanów Zjednoczonych opublikowała powiadomienie o luce wykrytej w oficjalnej wtyczce WordPress Gutenberg. Jednak według osoby, która go znalazła, WordPress podobno nie przyznał, że jest to luka w zabezpieczeniach.

Luka w zabezpieczeniach przechowywanych skryptów między witrynami (XSS)

XSS to rodzaj luki, która ma miejsce, gdy ktoś może przesłać coś w rodzaju skryptu, który normalnie nie byłby dozwolony za pomocą formularza lub innej metody.

Większość formularzy i innych danych wejściowych na stronie internetowej potwierdzi, że to, co jest aktualizowane, jest oczekiwane i odfiltruje niebezpieczne pliki.

Przykładem jest formularz do przesyłania obrazu, który nie blokuje atakującego przed przesłaniem złośliwego skryptu.

Według organizacji non-profit Open Web Application Security Project, organizacji skoncentrowanej na poprawie bezpieczeństwa oprogramowania, udany atak XSS może się zdarzyć tak:

„Atakujący może użyć XSS do wysłania złośliwego skryptu do niczego niepodejrzewającego użytkownika.

Przeglądarka użytkownika końcowego nie ma możliwości dowiedzenia się, że skryptowi nie należy ufać, i wykona skrypt.

Ponieważ uważa, że ​​skrypt pochodzi z zaufanego źródła, złośliwy skrypt może uzyskać dostęp do wszelkich plików cookie, tokenów sesji lub innych poufnych informacji przechowywanych przez przeglądarkę i używanych z tą witryną.

Skrypty te mogą nawet przepisać zawartość strony HTML”.

Typowe podatności i ekspozycje – CVE

Organizacja o nazwie CVE służy jako sposób na dokumentowanie luk w zabezpieczeniach i publiczne informowanie o odkryciach.

Organizacja wspierana przez Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych bada odkryte luki i, jeśli zostanie zaakceptowana, przypisze luce numer CVE, który służy jako numer identyfikacyjny tej konkretnej luki.

Odkrycie luki w zabezpieczeniach w Gutenberg

Badania nad bezpieczeństwem odkryły coś, co uważano za lukę w zabezpieczeniach. Odkrycie zostało przesłane do CVE, a odkrycie zostało zatwierdzone i przypisano numer identyfikacyjny CVE, co czyni odkrycie oficjalną luką w zabezpieczeniach.

Luka XSS otrzymała numer identyfikacyjny CVE-2022-33994.

Raport o luce opublikowany na stronie CVE zawiera następujący opis:

„Wtyczka Gutenberg do 13.7.3 dla WordPressa umożliwia przechowywanie XSS przez rolę współautora za pośrednictwem dokumentu SVG do funkcji „Wstaw z adresu URL”.

UWAGA: ładunek XSS nie jest wykonywany w kontekście domeny instancji WordPress; jednak analogiczne próby odwoływania się do dokumentów SVG przez użytkowników o niskich uprawnieniach są blokowane przez niektóre podobne produkty, a ta różnica w zachowaniu może mieć znaczenie dla bezpieczeństwa niektórych administratorów witryn WordPress”.

Oznacza to, że osoba z uprawnieniami na poziomie Contributor może spowodować wstawienie złośliwego pliku do serwisu WWW.

Sposobem na to jest wstawienie obrazu przez adres URL.

W Gutenbergu istnieją trzy sposoby przesyłania obrazu.

1. Prześlij to
2. Wybierz istniejący obraz z Biblioteki multimediów WordPress
3. Wstaw obraz z adresu URL

Ta ostatnia metoda jest źródłem luki, ponieważ według badacza bezpieczeństwa można przesłać obraz z dowolną nazwą pliku rozszerzenia do WordPress za pośrednictwem adresu URL, na co funkcja przesyłania nie pozwala.

Czy to naprawdę luka w zabezpieczeniach?

Badacz zgłosił lukę w zabezpieczeniach WordPressa. Jednak według osoby, która ją odkryła, WordPress nie uznał tego za lukę w zabezpieczeniach.

Tak napisał badacz:

„Znalazłem w WordPressie usterkę Stored Cross Site Scripting, która została odrzucona i oznaczona przez zespół WordPress jako informacyjna.

Dziś mija 45. dzień, odkąd zgłosiłem lukę, a mimo to luka nie została załatana w momencie pisania tego…”

Wydaje się więc, że pojawia się pytanie, czy WordPress ma rację, a wspierana przez rząd USA fundacja CVE nie myli się (lub odwrotnie), czy jest to luka XSS.

Badacz twierdzi, że jest to prawdziwa luka w zabezpieczeniach i oferuje akceptację CVE, aby potwierdzić to twierdzenie.

Ponadto badacz sugeruje lub sugeruje, że sytuacja, w której wtyczka WordPress Gutenberg umożliwia przesyłanie obrazów za pośrednictwem adresu URL, może nie być dobrą praktyką, zauważając, że inne firmy nie zezwalają na tego rodzaju przesyłanie.

„Jeśli tak, to powiedz mi, dlaczego… …firmy takie jak Google i Slack poszły do ​​tego stopnia, aby sprawdzać poprawność plików ładowanych przez adres URL i odrzucać pliki, jeśli zostaną uznane za SVG!

…Google i Slack… nie pozwalają na ładowanie plików SVG przez adres URL, co robi WordPress!”

Co robić?

WordPress nie naprawił tej luki, ponieważ wydaje się, że nie wierzą, że jest to luka lub taka, która stanowi problem.

Oficjalny raport o luce stwierdza, że ​​wersje Gutenberga do 13.7.3 zawierają lukę.

Ale najnowsza wersja to 13.7.3.

Według oficjalnego dziennika zmian WordPress Gutenberg, który rejestruje wszystkie przeszłe zmiany, a także publikuje opis przyszłych zmian, nie było żadnych poprawek dla tej (domniemanej) luki i nie są planowane.

Więc pytanie brzmi, czy jest coś do naprawienia.

Cytaty

Raport dotyczący luk w zabezpieczeniach bazy danych rządu USA dotyczący luki w zabezpieczeniach

CVE-2022-33994 Szczegóły

Raport opublikowany na oficjalnej stronie CVE

CVE-2022-33994 Szczegóły

Przeczytaj ustalenia badacza

CVE-2022-33994:- Przechowywany XSS w WordPress

Polecane zdjęcie autorstwa Shutterstock/Kues