在 WordPress Gutenberg 插件中發現漏洞？

美國政府的國家漏洞數據庫發布了關於在官方 WordPress Gutenberg 插件中發現的漏洞的通知。 但據發現它的人說，據說 WordPress 並沒有承認它是一個漏洞。

存儲跨站腳本 (XSS) 漏洞

XSS 是一種漏洞，當有人可以通過表單或其他方法上傳通常不允許的腳本之類的內容時，就會發生這種漏洞。

大多數表單和其他網站輸入將驗證正在更新的內容是否符合預期，並將過濾掉危險文件。

一個例子是上傳圖片的表單未能阻止攻擊者上傳惡意腳本。

根據專注於幫助提高軟件安全性的非營利組織 Open Web Application Security Project 的說法，成功的 XSS 攻擊可能會發生以下情況：

“攻擊者可以使用 XSS 向毫無戒心的用戶發送惡意腳本。

最終用戶的瀏覽器無法知道該腳本不應被信任，並將執行該腳本。

因為它認為腳本來自受信任的來源，所以惡意腳本可以訪問瀏覽器保留並與該站點一起使用的任何 cookie、會話令牌或其他敏感信息。

這些腳本甚至可以重寫 HTML 頁面的內容。”

常見漏洞和暴露 – CVE

一個名為 CVE 的組織用作記錄漏洞並向公眾公佈發現的一種方式。

該組織由美國國土安全部支持，負責檢查發現的漏洞，如果被接受，將為該漏洞分配一個 CVE 編號，作為該特定漏洞的識別號。

在古騰堡發現漏洞

安全研究發現了一個被認為是漏洞的東西。 該發現已提交給 CVE，該發現被批准並分配了一個 CVE ID 號，從而使該發現成為官方漏洞。

XSS 漏洞的 ID 號為 CVE-2022-33994。

CVE 站點上發布的漏洞報告包含以下描述：

“從 13.7.3 到 WordPress 的 Gutenberg 插件允許貢獻者角色通過 SVG 文檔將 XSS 存儲到“從 URL 插入”功能。

注意：XSS 負載不會在 WordPress 實例域的上下文中執行； 但是，低權限用戶引用 SVG 文檔的類似嘗試被一些類似產品阻止，這種行為差異可能與一些 WordPress 站點管理員的安全相關。”

這意味著具有貢獻者級別權限的人可能會導致將惡意文件插入網站。

方法是通過 URL 插入圖像。

在古騰堡，上傳圖片有三種方式。

1. 上傳
2. 從 WordPress 媒體庫中選擇現有圖像
3. 從 URL 插入圖像

最後一種方法是漏洞的來源，因為據安全研究人員稱，可以通過 URL 將具有任何擴展名文件名的圖像上傳到 WordPress，而上傳功能不允許這樣做。

它真的是一個漏洞嗎？

研究人員向 WordPress 報告了該漏洞。 但據發現它的人說，WordPress 並沒有承認它是一個漏洞。

這是研究人員寫的：

“我在 WordPress 中發現了一個存儲的跨站點腳本漏洞，該漏洞被 WordPress 團隊拒絕並標記為信息豐富。

今天是我報告該漏洞的第 45 天，但截至撰寫本文時，該漏洞尚未修補……”

因此，關於這是否是 XSS 漏洞似乎存在一個問題，即 WordPress 是否正確，而美國政府支持的 CVE 基金會是否錯誤（反之亦然）。

研究人員堅持認為這是一個真正的漏洞，並提供 CVE 接受以驗證該聲明。

此外，研究人員暗示或暗示 WordPress Gutenberg 插件允許通過 URL 上傳圖像的情況可能不是一個好的做法，並指出其他公司不允許這種上傳。

“如果是這樣，那麼請告訴我為什麼……像 Google 和 Slack 這樣的公司會驗證通過 URL 加載的文件，如果發現文件是 SVG，則拒絕這些文件！

……Google 和 Slack……不允許 SVG 文件通過 URL 加載，WordPress 就是這樣做的！”

該怎麼辦？

WordPress 尚未針對該漏洞發布修復程序，因為他們似乎不相信這是一個漏洞或存在問題的漏洞。

官方漏洞報告指出，高達 13.7.3 的 Gutenberg 版本包含該漏洞。

但 13.7.3 是最新版本。

根據官方 WordPress Gutenberg 更改日誌記錄了所有過去的更改並發布了對未來更改的描述，沒有針對此（所謂的）漏洞的修復，也沒有計劃。

所以問題是是否有什麼需要解決的。

引文

美國政府漏洞數據庫關於漏洞的報告

CVE-2022-33994 詳細信息

在 CVE 官方網站上發布的報告

CVE-2022-33994 詳細信息

閱讀研究人員的發現

CVE-2022-33994：- WordPress 中存儲的 XSS

Shutterstock/Kues 的特色圖片