Die National Vulnerability Database der US-Regierung hat eine Benachrichtigung über eine Sicherheitslücke veröffentlicht, die im offiziellen WordPress Gutenberg-Plugin entdeckt wurde. Aber laut der Person, die es gefunden hat, soll WordPress nicht anerkannt haben, dass es sich um eine Schwachstelle handelt.
Stored Cross-Site Scripting (XSS) Sicherheitslücke
XSS ist eine Art Schwachstelle, die auftritt, wenn jemand so etwas wie ein Skript hochladen kann, das normalerweise nicht über ein Formular oder eine andere Methode erlaubt wäre.
Die meisten Formulare und andere Website-Eingaben bestätigen, dass die Aktualisierungen erwartet werden, und filtern gefährliche Dateien heraus.
Ein Beispiel ist ein Formular zum Hochladen eines Bildes, das einen Angreifer nicht daran hindert, ein schädliches Skript hochzuladen.
Laut dem gemeinnützigen Open Web Application Security Project, einer Organisation, die sich darauf konzentriert, die Softwaresicherheit zu verbessern, kann Folgendes bei einem erfolgreichen XSS-Angriff passieren:
„Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden.
Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus.
Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden.
Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.“
Häufige Schwachstellen und Gefährdungen – CVE
Eine Organisation namens CVE dient dazu, Schwachstellen zu dokumentieren und die Entdeckungen der Öffentlichkeit zugänglich zu machen.
Die Organisation, die vom US-Heimatschutzministerium unterstützt wird, untersucht entdeckte Schwachstellen und weist der Schwachstelle bei Annahme eine CVE-Nummer zu, die als Identifikationsnummer dieser spezifischen Schwachstelle dient.
Entdeckung einer Schwachstelle in Gutenberg
Sicherheitsforschung entdeckte, was als Schwachstelle angesehen wurde. Die Entdeckung wurde dem CVE übermittelt, und die Entdeckung wurde genehmigt und ihr wurde eine CVE-ID-Nummer zugewiesen, wodurch die Entdeckung zu einer offiziellen Schwachstelle wurde.
Die XSS-Schwachstelle erhielt die ID-Nummer CVE-2022-33994.
Der auf der CVE-Site veröffentlichte Schwachstellenbericht enthält diese Beschreibung:
„Das Gutenberg-Plugin bis 13.7.3 für WordPress ermöglicht gespeichertes XSS durch die Contributor-Rolle über ein SVG-Dokument für die Funktion „Von URL einfügen“.
HINWEIS: Die XSS-Payload wird nicht im Kontext der Domain der WordPress-Instanz ausgeführt; analoge Versuche von Benutzern mit geringen Berechtigungen, auf SVG-Dokumente zu verweisen, werden jedoch von einigen ähnlichen Produkten blockiert, und dieser Verhaltensunterschied könnte für einige Administratoren von WordPress-Sites sicherheitsrelevant sein.“
Das bedeutet, dass jemand mit Berechtigungen auf Contributor-Ebene dafür sorgen kann, dass eine bösartige Datei in die Website eingefügt wird.
Der Weg, dies zu tun, besteht darin, das Bild über eine URL einzufügen.
In Gutenberg gibt es drei Möglichkeiten, ein Bild hochzuladen.
- Lade es hoch
- Wählen Sie ein vorhandenes Bild aus der WordPress-Medienbibliothek
- Fügen Sie das Bild von einer URL ein
Aus letzterer Methode rührt die Schwachstelle her, denn laut dem Sicherheitsforscher kann man ein Bild mit beliebigen Erweiterungsdateinamen über eine URL in WordPress hochladen, was die Upload-Funktion nicht zulässt.
Ist es wirklich eine Schwachstelle?
Der Forscher meldete die Schwachstelle an WordPress. Aber laut der Person, die es entdeckt hat, hat WordPress es nicht als Schwachstelle anerkannt.
Das schrieb der Forscher:
„Ich habe eine Stored Cross Site Scripting-Schwachstelle in WordPress gefunden, die abgelehnt und vom WordPress-Team als informativ eingestuft wurde.
Heute ist der 45. Tag, seit ich die Schwachstelle gemeldet habe, und dennoch ist die Schwachstelle zum Zeitpunkt des Schreibens dieses Artikels noch nicht gepatcht …“
Es scheint also die Frage zu sein, ob WordPress Recht hat und die von der US-Regierung unterstützte CVE-Stiftung falsch liegt (oder umgekehrt), ob es sich um eine XSS-Schwachstelle handelt.
Der Forscher besteht darauf, dass dies eine echte Schwachstelle ist, und bietet dem CVE an, diese Behauptung zu bestätigen.
Darüber hinaus impliziert oder schlägt der Forscher vor, dass die Situation, in der das WordPress Gutenberg-Plugin das Hochladen von Bildern über eine URL zulässt, möglicherweise keine gute Praxis ist, da andere Unternehmen diese Art des Hochladens nicht zulassen.
„Wenn dem so ist, dann sagen Sie mir, warum… …Unternehmen wie Google und Slack so weit gegangen sind, Dateien zu validieren, die über eine URL geladen werden, und die Dateien abzulehnen, wenn sie sich als SVG herausstellen!
… Google und Slack … erlauben nicht, dass SVG-Dateien über eine URL geladen werden, was WordPress tut!“
Was zu tun ist?
WordPress hat keinen Fix für die Schwachstelle herausgegeben, da sie anscheinend nicht glauben, dass es sich um eine Schwachstelle oder eine handelt, die ein Problem darstellt.
Der offizielle Schwachstellenbericht besagt, dass Gutenberg-Versionen bis 13.7.3 die Schwachstelle enthalten.
Aber 13.7.3 ist die aktuellste Version.
Laut dem offiziellen WordPress-Gutenberg-Changelog, das alle vergangenen Änderungen aufzeichnet und auch eine Beschreibung zukünftiger Änderungen veröffentlicht, gab es keine Fixes für diese (angebliche) Schwachstelle, und es sind auch keine geplant.
Die Frage ist also, ob es etwas zu reparieren gibt oder nicht.
Zitate
US Government Vulnerability Database Bericht über die Sicherheitsanfälligkeit
CVE-2022-33994-Detail
Bericht auf der offiziellen CVE-Website veröffentlicht
CVE-2022-33994-Detail
Lesen Sie die Ergebnisse des Forschers
CVE-2022-33994:- Gespeichertes XSS in WordPress
Vorgestelltes Bild von Shutterstock/Kues