La base de datos del gobierno de los Estados Unidos que registra las vulnerabilidades a nivel nacional emitió una alerta sobre una vulnerabilidad detectada en el complemento oficial de WordPress llamado Gutenberg. Sin embargo, la persona que descubrió esta vulnerabilidad afirma que WordPress no ha reconocido que se trata de una vulnerabilidad.
Fragilidad de la secuencia de comandos de sitios web (XSS) que se guarda.
XSS es una vulnerabilidad que ocurre cuando una persona puede cargar un script que generalmente no sería permitido a través de un formulario u otro medio.
La mayoría de las casillas y demás secciones del sitio web comprobarán que las actualizaciones sean las esperadas y eliminarán archivos peligrosos.
Un caso es un formulario que permite a un atacante cargar un script malicioso a pesar de intentar evitarlo.
De acuerdo con Open Web Application Security Project, una organización enfocada en mejorar la seguridad del software, esto es la potencial consecuencia de un ataque XSS exitoso:
Un agresor puede emplear XSS para enviar un código malicioso a un usuario sin que este se percate.
El navegador del usuario no puede distinguir si el script es seguro o no, por lo tanto, lo ejecutará.
Dado que el script se origina en una fuente confiable, el script malicioso puede tener acceso a las cookies, tokens de sesión u otra información confidencial almacenada por el navegador y utilizada en ese sitio.
Estos guiones tienen la capacidad de modificar el contenido de la página HTML.
Debilidades frecuentes: Exposiciones de vulnerabilidad – CVE
Una entidad conocida como CVE actúa como un medio para registrar vulnerabilidades y compartir los hallazgos con la población.
La organización respaldada por el Departamento de Seguridad Nacional de Estados Unidos revisa los hallazgos de vulnerabilidades y, en caso de ser validados, les asigna un número CVE para identificarlas de manera única.
Hallazgo de la debilidad en Gutenberg
La investigación de seguridad identificó una vulnerabilidad que se consideraba existente. Esta información se reportó a CVE, donde fue verificada y se le asignó un número de identificación, convirtiéndose así en una vulnerabilidad reconocida oficialmente.
La vulnerabilidad de XSS fue identificada con el número CVE-2022-33994.
La descripción se encuentra en el informe de vulnerabilidad que ha sido publicado en el sitio CVE.
El plugin Gutenberg hasta la versión 13.7.3 de WordPress presenta una vulnerabilidad de almacenamiento de XSS cuando un usuario con el rol de Contributor inserta un documento SVG utilizando la función “Insertar desde URL”.
La carga útil XSS no se activa en el dominio de WordPress, pero los intentos de usuarios con bajos privilegios de acceder a documentos SVG son bloqueados por ciertos productos. Esta variación en el comportamiento puede ser importante en términos de seguridad para algunos administradores de sitios de WordPress.
Esto indica que una persona con permisos de nivel Contributor puede incluir un archivo malicioso en el sitio web.
La manera de lograrlo es incluir la imagen mediante una dirección URL.
En Gutenberg existen tres métodos para cargar una imagen.
- Eleva
- Seleccione una imagen ya presente en la biblioteca de medios de WordPress.
- Incorporar la imagen a partir de una dirección URL.
La vulnerabilidad proviene de ese método final, ya que, de acuerdo con el experto en seguridad, es posible cargar una imagen con cualquier nombre de archivo y extensión en WordPress utilizando una URL, lo cual no está permitido por la función de carga.
¿Se trata de una debilidad genuina?
El investigador informó sobre una debilidad en WordPress, sin embargo, la plataforma no la consideró como tal según la persona que la encontró.
Estas son las palabras redactadas por el investigador:
Encontré una vulnerabilidad de scripting en el sitio web alojado en WordPress que fue desestimada y considerada como informativa por el equipo de WordPress.
Hoy marca el día 45 desde que informé sobre la vulnerabilidad, pero hasta ahora no se ha solucionado.
Entonces, parece haber dudas sobre si WordPress está en lo correcto y si la fundación CVE respaldada por el gobierno de Estados Unidos está equivocada (o viceversa) en cuanto a si se trata de una vulnerabilidad XSS.
El investigador argumenta que se trata de una vulnerabilidad genuina y ha obtenido la confirmación de CVE para respaldar su declaración.
Además, el investigador indica que la función en la que el complemento de WordPress Gutenberg facilita la carga de imágenes a través de una URL podría no ser recomendable, ya que menciona que otras empresas no permiten este tipo de acción.
“¿Por qué empresas como Google y Slack han implementado la validación de archivos cargados a través de una URL para rechazar los archivos SVG si es así?”
… Google y Slack… no permiten la carga de archivos SVG a través de una URL, a diferencia de lo que permite WordPress.
¿Cuál es la mejor acción a tomar?
WordPress aún no ha proporcionado una solución a la vulnerabilidad, ya que parece que no consideran que sea una vulnerabilidad o que represente un problema.
En el informe oficial de vulnerabilidad se menciona que las versiones de Gutenberg anteriores a la 13.7.3 presentan la vulnerabilidad.
La versión más reciente disponible es la 13.7.3.
Según el registro oficial de cambios de WordPress Gutenberg, que documenta todas las modificaciones previas y también adelanta una descripción de los cambios por venir, no se han identificado ni se tiene planeado abordar una supuesta vulnerabilidad en este momento.
Entonces, la cuestión es si existe algo que necesite ser solucionado.
Frases textuales de otras fuentes.
Reporte de datos acerca de la fragilidad del Gobierno de los Estados Unidos.
Descripción detallada de la vulnerabilidad CVE-2022-33994.
Informe publicado en la página oficial de la Cámara de Comercio de España.
CVE-2022-33994 Descripción detallada
Por favor, revisa los descubrimientos del investigador.
Vulnerabilidad CVE-2022-33994: Se ha descubierto una vulnerabilidad de tipo XSS almacenado en el sistema de gestión de contenido WordPress.
Imagen principal proporcionada por Shutterstock/Kues.
