La base de datos nacional de vulnerabilidades del gobierno de EE. UU. ha publicado una alerta sobre una vulnerabilidad descubierta en el complemento oficial de WordPress Gutenberg. Pero según la persona que lo encontró, WordPress no reconoció que se trataba de una vulnerabilidad.
Vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas
XSS es un tipo de vulnerabilidad que ocurre cuando alguien puede cargar algo como un script que normalmente no estaría permitido a través de un formulario u otro método.
La mayoría de los formularios y otras entradas del sitio web confirman que se esperan las actualizaciones y filtran los archivos peligrosos.
Un ejemplo es un formulario de carga de imágenes que no evita que un atacante cargue un script malicioso.
Según el Proyecto de seguridad de aplicaciones web abiertas sin fines de lucro, una organización enfocada en mejorar la seguridad del software, un ataque XSS exitoso puede:
«Un atacante puede usar XSS para enviar un script malicioso a un usuario desprevenido.
El navegador del usuario final no tiene forma de saber que el script no es de confianza y ejecuta el script.
Suponiendo que el script proviene de una fuente confiable, el script malicioso puede acceder a cualquier cookie, token de sesión u otra información confidencial almacenada por el navegador y utilizada con este sitio web.
Estos scripts pueden incluso reescribir el contenido de la página HTML”.
Vulnerabilidades y compromisos comunes – CVE
Se utiliza una organización llamada CVE para documentar las vulnerabilidades y poner los descubrimientos a disposición del público.
La organización, respaldada por el Departamento de Seguridad Nacional de EE. UU., investiga las vulnerabilidades descubiertas y, una vez aceptadas, asigna a la vulnerabilidad un número CVE, que sirve como número de identificación para esa vulnerabilidad específica.
Descubrimiento de una vulnerabilidad en Gutenberg
La investigación de seguridad descubrió lo que se consideraba una vulnerabilidad. El descubrimiento se envió al CVE, y el descubrimiento se aprobó y se le asignó un número de identificación de CVE, lo que convierte al descubrimiento en una vulnerabilidad oficial.
La vulnerabilidad XSS recibió el número de identificación CVE-2022-33994.
El informe de vulnerabilidad publicado en el sitio de CVE contiene esta descripción:
«El complemento de Gutenberg hasta 13.7.3 para WordPress permite que el rol de Colaborador guarde XSS a través de un documento SVG para la función Insertar desde URL».
NOTA: La carga útil de XSS no se ejecuta en el contexto del dominio de la instancia de WordPress; sin embargo, algunos productos similares bloquean intentos similares de usuarios con pocos privilegios para hacer referencia a documentos SVG, y esta diferencia en el comportamiento podría estar relacionada con la seguridad para algunos administradores de sitios de WordPress”.
Esto significa que alguien con permisos de nivel de colaborador podría provocar que se inyecte un archivo malicioso en el sitio web.
La forma de hacerlo es insertar la imagen a través de una URL.
Hay tres formas de cargar una imagen en Gutenberg.
- subirlo
- Elija una imagen existente de la biblioteca de medios de WordPress
- Pegar la imagen desde una URL
La vulnerabilidad proviene del último método, porque según el investigador de seguridad, puede cargar una imagen con cualquier nombre de archivo de extensión a WordPress a través de una URL, lo que la función de carga no permite.
¿Es realmente una vulnerabilidad?
El investigador reportó la vulnerabilidad a WordPress. Pero según la persona que lo descubrió, WordPress no lo reconoció como una vulnerabilidad.
El investigador escribió:
“Encontré una vulnerabilidad de secuencias de comandos entre sitios almacenados en WordPress que fue negada y clasificada como informativa por el equipo de WordPress.
Hoy es el día 45 desde que informé la vulnerabilidad y, sin embargo, al momento de escribir esto, la vulnerabilidad no está parcheada…»
Entonces, la pregunta parece ser si WordPress tiene razón y la Fundación CVE respaldada por el gobierno de EE. UU. está equivocada (o viceversa), si se trata de una vulnerabilidad XSS.
El investigador insiste en que se trata de una vulnerabilidad real y ofrece al CVE que confirme esta afirmación.
Además, el investigador da a entender o sugiere que la situación en la que el plugin de WordPress Gutenberg permite cargar imágenes a través de una URL puede no ser una buena práctica, ya que otras empresas no permiten este tipo de carga.
«Si es así, dígame por qué… …compañías como Google y Slack han ido tan lejos como para validar los archivos cargados a través de una URL y rechazar los archivos si resultan ser SVG.
… Google y Slack … no permiten que los archivos SVG se carguen a través de una URL, ¡lo que hace WordPress!
¿Qué hacer?
WordPress no ha publicado una solución para la vulnerabilidad, ya que no parecen creer que sea una vulnerabilidad o que plantee un problema.
El informe oficial de vulnerabilidad indica que las versiones de Gutenberg hasta la 13.7.3 contienen la vulnerabilidad.
Pero 13.7.3 es la última versión.
De acuerdo con el registro de cambios oficial de WordPress Gutenberg, que registra todos los cambios pasados y también publica una descripción de los cambios futuros, no ha habido soluciones para esta (supuesta) vulnerabilidad, y no se planea ninguna.
Entonces la pregunta es si hay algo que arreglar o no.
cotizaciones
Informe de vulnerabilidad de la base de datos de vulnerabilidad del gobierno de EE. UU.
CVE-2022-33994 detalle
Informe publicado en la web oficial de CVE
CVE-2022-33994 detalle
Leer los hallazgos del investigador
CVE-2022-33994: – XSS almacenado en WordPress
Imagen destacada de Shutterstock/Kues
