آسیب‌پذیری در افزونه گوتنبرگ وردپرس یافت شد؟


پایگاه داده ملی آسیب پذیری دولت ایالات متحده یک اعلان از یک آسیب پذیری کشف شده در افزونه رسمی وردپرس گوتنبرگ منتشر کرد. اما طبق گفته شخصی که آن را پیدا کرده است، گفته می شود وردپرس آسیب پذیری آن را تایید نکرده است.

آسیب پذیری ذخیره شده بین سایتی اسکریپت (XSS).

XSS نوعی آسیب‌پذیری است که زمانی اتفاق می‌افتد که شخصی بتواند چیزی مانند یک اسکریپت را آپلود کند که معمولاً از طریق فرم یا روش دیگری مجاز نیست.

اکثر فرم‌ها و سایر ورودی‌های وب‌سایت تأیید می‌کنند که آنچه در حال به‌روزرسانی است مورد انتظار است و فایل‌های خطرناک را فیلتر می‌کنند.

به عنوان مثال، فرمی برای آپلود یک تصویر است که نمی تواند مهاجم را از آپلود یک اسکریپت مخرب مسدود کند.

با توجه به پروژه غیرانتفاعی Open Web Application Security Project، سازمانی که بر کمک به بهبود امنیت نرم افزار متمرکز است، این همان چیزی است که می تواند با یک حمله موفق XSS اتفاق بیفتد:

«یک مهاجم می‌تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر نامطمئن استفاده کند.

مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.

از آنجایی که فکر می‌کند اسکریپت از منبع قابل اعتمادی آمده است، اسکریپت مخرب می‌تواند به هر کوکی، نشانه جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده می‌شود، دسترسی داشته باشد.

این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند.

آسیب پذیری ها و مواجهه های رایج – CVE

سازمانی به نام CVE به عنوان راهی برای مستندسازی آسیب‌پذیری‌ها و انتشار اکتشافات به عموم مردم عمل می‌کند.

این سازمان که وزارت امنیت داخلی ایالات متحده از آن حمایت می کند، کشفیات آسیب پذیری ها را بررسی می کند و در صورت پذیرش، به آسیب پذیری یک شماره CVE اختصاص می دهد که به عنوان شماره شناسایی آن آسیب پذیری خاص عمل می کند.

کشف آسیب پذیری در گوتنبرگ

تحقیقات امنیتی آنچه را که تصور می‌شود آسیب‌پذیری است، کشف کرد. این اکتشاف به CVE ارسال شد و کشف مورد تایید قرار گرفت و یک شماره شناسه CVE به آن اختصاص یافت و این کشف به یک آسیب پذیری رسمی تبدیل شد.

به آسیب‌پذیری XSS با شماره شناسه CVE-2022-33994 داده شده است.

گزارش آسیب‌پذیری که در سایت CVE منتشر شده است حاوی این توضیحات است:

“افزونه گوتنبرگ تا 13.7.3 برای وردپرس به XSS ذخیره شده توسط نقش Contributor از طریق یک سند SVG به ویژگی “Insert from URL” اجازه می دهد.

توجه: بارگذاری XSS در زمینه دامنه نمونه وردپرس اجرا نمی شود. با این حال، تلاش‌های مشابه توسط کاربران با امتیاز پایین برای ارجاع به اسناد SVG توسط برخی محصولات مشابه مسدود می‌شود و این تفاوت رفتاری ممکن است برای برخی از مدیران سایت وردپرس ارتباط امنیتی داشته باشد.

این بدان معنی است که شخصی با امتیازات سطح Contributor می تواند باعث شود که یک فایل مخرب در وب سایت درج شود.

روش انجام این کار این است که تصویر را از طریق URL وارد کنید.

در گوتنبرگ سه راه برای آپلود تصویر وجود دارد.

  1. آپلودش کن
  2. یک تصویر موجود را از کتابخانه رسانه وردپرس انتخاب کنید
  3. تصویر را از یک URL درج کنید

آخرین روش جایی است که آسیب‌پذیری از آنجا ناشی می‌شود، زیرا به گفته این محقق امنیتی، می‌توان تصویری را با هر نام فایل پسوندی از طریق URL در وردپرس آپلود کرد که ویژگی آپلود اجازه نمی‌دهد.

آیا واقعاً یک آسیب پذیری است؟

محقق این آسیب پذیری را به وردپرس گزارش کرد. اما به گفته شخصی که آن را کشف کرده است، وردپرس آن را به عنوان یک آسیب پذیری تایید نکرده است.

این محقق نوشته است:

“من یک آسیب پذیری ذخیره شده Cross Site Scripting در وردپرس پیدا کردم که رد شد و توسط تیم وردپرس به عنوان اطلاعاتی برچسب گذاری شد.

امروز چهل و پنجمین روز از زمانی است که آسیب‌پذیری را گزارش کردم، اما هنوز این آسیب‌پذیری تا زمان نوشتن این وصله نشده است…”

بنابراین به نظر می رسد که این سوال وجود دارد که آیا وردپرس درست است و بنیاد CVE مورد حمایت دولت ایالات متحده اشتباه می کند (یا برعکس) در مورد اینکه آیا این یک آسیب پذیری XSS است یا خیر.

محقق اصرار دارد که این یک آسیب پذیری واقعی است و پذیرش CVE را برای تأیید این ادعا ارائه می دهد.

علاوه بر این، محقق اشاره یا پیشنهاد می‌کند که وضعیتی که افزونه گوتنبرگ وردپرس اجازه آپلود تصاویر از طریق URL را می‌دهد، ممکن است عمل خوبی نباشد، با توجه به اینکه شرکت‌های دیگر این نوع آپلود را مجاز نمی‌دانند.

“اگر اینطور است، پس به من بگویید چرا… …شرکت هایی مانند Google و Slack تا حدی پیش رفتند که فایل هایی را که روی URL بارگذاری می شوند اعتبارسنجی کنند و اگر مشخص شد که SVG هستند، فایل ها را رد می کنند!

…گوگل و اسلک… اجازه بارگذاری فایل های SVG روی URL را نمی دهند، کاری که وردپرس انجام می دهد!

چه باید کرد؟

وردپرس راه حلی برای این آسیب پذیری صادر نکرده است، زیرا به نظر می رسد آنها معتقد نیستند که آسیب پذیری یا مشکلی است.

گزارش رسمی آسیب پذیری بیان می کند که نسخه های گوتنبرگ تا 13.7.3 حاوی این آسیب پذیری هستند.

اما 13.7.3 جدیدترین نسخه است.

با توجه به تغییرات لاگ رسمی وردپرس گوتنبرگ که تمام تغییرات گذشته را ثبت می‌کند و همچنین شرح تغییرات آینده را منتشر می‌کند، هیچ اصلاحی برای این آسیب‌پذیری (ادعای) وجود نداشته است و هیچ برنامه‌ریزی شده‌ای وجود ندارد.

بنابراین سوال این است که آیا چیزی برای اصلاح وجود دارد یا خیر.

استناد

گزارش پایگاه داده آسیب پذیری دولت ایالات متحده در مورد آسیب پذیری

CVE-2022-33994 جزئیات

گزارش در سایت رسمی CVE منتشر شد

CVE-2022-33994 جزئیات

یافته های محقق را بخوانید

CVE-2022-33994: – XSS در وردپرس ذخیره شده است


تصویر برجسته توسط Shutterstock/Kues





منبع