¿Se ha encontrado una vulnerabilidad en el complemento Gutenberg de WordPress?


La base de datos nacional de vulnerabilidades del gobierno de los Estados Unidos publicó una notificación de una vulnerabilidad descubierta en el complemento oficial de WordPress Gutenberg. Pero según la persona que lo encontró, se dice que WordPress no reconoció que es una vulnerabilidad.

Vulnerabilidad de secuencias de comandos entre sitios almacenadas (XSS)

XSS es un tipo de vulnerabilidad que ocurre cuando alguien puede cargar algo como un script que normalmente no estaría permitido a través de un formulario u otro método.

La mayoría de los formularios y otras entradas del sitio web validarán que se espera lo que se está actualizando y filtrarán los archivos peligrosos.

Un ejemplo es un formulario para cargar una imagen que no bloquea a un atacante para que no cargue un script malicioso.

Según el Proyecto de Seguridad de Aplicaciones Web Abiertas sin fines de lucro, una organización enfocada en ayudar a mejorar la seguridad del software, esto es lo que puede pasar con un ataque XSS exitoso:

“Un atacante puede usar XSS para enviar un script malicioso a un usuario desprevenido.

El navegador del usuario final no tiene forma de saber que no se debe confiar en el script y lo ejecutará.

Debido a que cree que el script proviene de una fuente confiable, el script malicioso puede ceder a cualquier cookie, token de sesión u otra información confidencial retenida por el navegador y utilizada con ese sitio.

Estos scripts pueden incluso reescribir el contenido de la página HTML”.

Vulnerabilidades y exposiciones comunes: CVE

Una organización llamada CVE sirve como una forma de documentar las vulnerabilidades y dar a conocer los descubrimientos al público.

La organización, que cuenta con el respaldo del Departamento de Seguridad Nacional de EE. UU., examina los descubrimientos de vulnerabilidades y, si se acepta, asignará a la vulnerabilidad un número CVE que sirve como número de identificación de esa vulnerabilidad específica.

Descubrimiento de vulnerabilidad en Gutenberg

La investigación de seguridad descubrió lo que se creía que era una vulnerabilidad. El descubrimiento se envió al CVE, y el descubrimiento se aprobó y se le asignó un número de identificación de CVE, lo que convierte al descubrimiento en una vulnerabilidad oficial.

La vulnerabilidad XSS recibió el número de ID CVE-2022-33994.

El informe de vulnerabilidad que se publicó en el sitio de CVE contiene esta descripción:

“El complemento de Gutenberg hasta 13.7.3 para WordPress permite que el rol de Colaborador almacene XSS a través de un documento SVG en la función “Insertar desde URL”.

NOTA: la carga útil de XSS no se ejecuta en el contexto del dominio de la instancia de WordPress; sin embargo, algunos productos similares bloquean intentos similares de usuarios con pocos privilegios para hacer referencia a documentos SVG, y esta diferencia de comportamiento podría tener relevancia para la seguridad de algunos administradores de sitios de WordPress”.

Eso significa que alguien con privilegios de nivel de colaborador puede hacer que se inserte un archivo malicioso en el sitio web.

La forma de hacerlo es insertando la imagen a través de una URL.

En Gutenberg, hay tres formas de subir una imagen.

  1. Subirlo
  2. Elija una imagen existente de la biblioteca de medios de WordPress
  3. Insertar la imagen desde una URL

Ese último método es de donde proviene la vulnerabilidad porque, según el investigador de seguridad, uno puede cargar una imagen con cualquier nombre de archivo de extensión a WordPress a través de una URL, que la función de carga no permite.

¿Es realmente una vulnerabilidad?

El investigador reportó la vulnerabilidad a WordPress. Pero según la persona que lo descubrió, WordPress no lo reconoció como una vulnerabilidad.

Esto es lo que escribió el investigador:

“Encontré una vulnerabilidad de secuencias de comandos cruzadas almacenadas en WordPress que fue rechazada y etiquetada como informativa por el equipo de WordPress.

Hoy es el día 45 desde que informé la vulnerabilidad y, sin embargo, la vulnerabilidad no está parcheada al momento de escribir esto…”

Por lo tanto, parece que existe la duda de si WordPress tiene razón y si la fundación CVE, respaldada por el gobierno de EE. UU., está equivocada (o viceversa) sobre si se trata de una vulnerabilidad XSS.

El investigador insiste en que se trata de una vulnerabilidad real y ofrece la aprobación del CVE para validar esa afirmación.

Además, el investigador insinúa o sugiere que la situación en la que el complemento Gutenberg de WordPress permite cargar imágenes a través de una URL podría no ser una buena práctica, y señala que otras empresas no permiten ese tipo de carga.

“Si esto es así, entonces dígame por qué… …compañías como Google y Slack llegaron al extremo de validar los archivos que se cargan a través de una URL y rechazar los archivos si se descubre que son SVG.

…Google y Slack… no permiten que los archivos SVG se carguen sobre una URL, ¡lo que hace WordPress!”

¿Qué hacer?

WordPress no ha publicado una solución para la vulnerabilidad porque parece no creer que sea una vulnerabilidad o que presente un problema.

El informe oficial de vulnerabilidad indica que las versiones de Gutenberg hasta la 13.7.3 contienen la vulnerabilidad.

Pero 13.7.3 es la versión más actual.

De acuerdo con el registro de cambios oficial de WordPress Gutenberg que registra todos los cambios pasados ​​y también publica una descripción de los cambios futuros, no ha habido soluciones para esta (supuesta) vulnerabilidad, y no hay ninguna planeada.

Entonces la pregunta es si hay algo que arreglar o no.

Citas

Informe de la base de datos de vulnerabilidad del gobierno de EE. UU. sobre la vulnerabilidad

CVE-2022-33994 Detalle

Informe publicado en el sitio oficial de CVE

CVE-2022-33994 Detalle

Lea los hallazgos del investigador

CVE-2022-33994: – XSS almacenado en WordPress


Imagen destacada de Shutterstock/Kues





Consultar el artículo en la publicación original

¿Se ha encontrado una vulnerabilidad en el complemento Gutenberg de WordPress?
A %d blogueros les gusta esto: