在 WordPress Gutenberg 插件中发现漏洞？

美国政府的国家漏洞数据库发布了关于在官方 WordPress Gutenberg 插件中发现的漏洞的通知。 但据发现它的人说，据说 WordPress 并没有承认它是一个漏洞。

存储跨站脚本 (XSS) 漏洞

XSS 是一种漏洞，当有人可以通过表单或其他方法上传通常不允许的脚本之类的内容时，就会发生这种漏洞。

大多数表单和其他网站输入将验证正在更新的内容是否符合预期，并将过滤掉危险文件。

一个例子是上传图片的表单未能阻止攻击者上传恶意脚本。

根据专注于帮助提高软件安全性的非营利组织 Open Web Application Security Project 的说法，成功的 XSS 攻击可能会发生以下情况：

“攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。

最终用户的浏览器无法知道该脚本不应被信任，并将执行该脚本。

因为它认为脚本来自受信任的来源，所以恶意脚本可以访问浏览器保留并与该站点一起使用的任何 cookie、会话令牌或其他敏感信息。

这些脚本甚至可以重写 HTML 页面的内容。”

常见漏洞和暴露 – CVE

一个名为 CVE 的组织用作记录漏洞并向公众公布发现的一种方式。

该组织由美国国土安全部支持，负责检查发现的漏洞，如果被接受，将为该漏洞分配一个 CVE 编号，作为该特定漏洞的识别号。

在古腾堡发现漏洞

安全研究发现了一个被认为是漏洞的东西。 该发现已提交给 CVE，该发现被批准并分配了一个 CVE ID 号，从而使该发现成为官方漏洞。

XSS 漏洞的 ID 号为 CVE-2022-33994。

CVE 站点上发布的漏洞报告包含以下描述：

“从 13.7.3 到 WordPress 的 Gutenberg 插件允许贡献者角色通过 SVG 文档将 XSS 存储到“从 URL 插入”功能。

注意：XSS 负载不会在 WordPress 实例域的上下文中执行； 但是，低权限用户引用 SVG 文档的类似尝试被一些类似产品阻止，这种行为差异可能与一些 WordPress 站点管理员的安全相关。”

这意味着具有贡献者级别权限的人可能会导致将恶意文件插入网站。

方法是通过 URL 插入图像。

在古腾堡，上传图片有三种方式。

1. 上传
2. 从 WordPress 媒体库中选择现有图像
3. 从 URL 插入图像

最后一种方法是漏洞的来源，因为据安全研究人员称，可以通过 URL 将具有任何扩展名文件名的图像上传到 WordPress，而上传功能不允许这样做。

它真的是一个漏洞吗？

研究人员向 WordPress 报告了该漏洞。 但据发现它的人说，WordPress 并没有承认它是一个漏洞。

这是研究人员写的：

“我在 WordPress 中发现了一个存储的跨站点脚本漏洞，该漏洞被 WordPress 团队拒绝并标记为信息丰富。

今天是我报告该漏洞的第 45 天，但截至撰写本文时，该漏洞尚未修补……”

因此，关于这是否是 XSS 漏洞似乎存在一个问题，即 WordPress 是否正确，而美国政府支持的 CVE 基金会是否错误（反之亦然）。

研究人员坚持认为这是一个真正的漏洞，并提供 CVE 接受以验证该声明。

此外，研究人员暗示或暗示 WordPress Gutenberg 插件允许通过 URL 上传图像的情况可能不是一个好的做法，并指出其他公司不允许这种上传。

“如果是这样，那么请告诉我为什么……像 Google 和 Slack 这样的公司会验证通过 URL 加载的文件，如果发现文件是 SVG，则拒绝这些文件！

……Google 和 Slack……不允许 SVG 文件通过 URL 加载，WordPress 就是这样做的！”

该怎么办？

WordPress 尚未针对该漏洞发布修复程序，因为他们似乎不相信这是一个漏洞或存在问题的漏洞。

官方漏洞报告指出，高达 13.7.3 的 Gutenberg 版本包含该漏洞。

但 13.7.3 是最新版本。

根据官方 WordPress Gutenberg 更新日志记录了所有过去的更改并发布了对未来更改的描述，没有针对此（所谓的）漏洞的修复，也没有计划。

所以问题是是否有什么需要解决的。

引文

美国政府漏洞数据库关于漏洞的报告

CVE-2022-33994 详细信息

在 CVE 官方网站上发布的报告

CVE-2022-33994 详细信息

阅读研究人员的发现

CVE-2022-33994：- WordPress 中存储的 XSS

Shutterstock/Kues 的特色图片