آسیب‌پذیری در افزونه گوتنبرگ وردپرس یافت شد؟

پایگاه ملی آسیب‌پذیری دولت ایالات متحده، اعلان آسیب‌پذیری کشف شده در افزونه رسمی وردپرس گوتنبرگ را منتشر کرد. اما طبق گفته شخصی که آن را پیدا کرده است، گفته می شود وردپرس این آسیب پذیری را تایید نکرده است.

آسیب‌پذیری Stored Cross-Site Scripting (XSS)

XSS نوعی آسیب‌پذیری است که زمانی اتفاق می‌افتد که فردی بتواند چیزی مانند یک اسکریپت را بارگذاری کند که معمولاً از طریق فرم یا روش دیگری مجاز نیست.

اکثر فرم‌ها و سایر ورودی‌های وب‌سایت تأیید می‌کنند که آنچه در حال به‌روزرسانی است مورد انتظار است و فایل‌های خطرناک را فیلتر می‌کنند.

نمونه‌ای فرمی برای آپلود تصویری است که مهاجم را از آپلود یک اسکریپت مخرب مسدود نمی‌کند.

طبق پروژه غیرانتفاعی Open Web Application Security Project، سازمانی با تمرکز بر کمک به بهبود امنیت نرم افزار، این چیزی است که با یک حمله موفق XSS اتفاق می افتد:

«یک مهاجم می‌تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر ناآگاه استفاده کند.

مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.

از آنجایی که فکر می‌کند اسکریپت از منبع قابل اعتمادی آمده است، اسکریپت مخرب می‌تواند به کوکی‌ها، نشانه‌های جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده می‌شود، دسترسی داشته باشد.

این اسکریپت‌ها حتی می‌توانند محتوای صفحه HTML را بازنویسی کنند.”

آسیب پذیری ها و مواجهه های رایج – CVE

سازمانی به نام CVE به عنوان راهی برای مستندسازی آسیب‌پذیری‌ها و انتشار اکتشافات به عموم مردم عمل می‌کند.

سازمان که وزارت امنیت داخلی ایالات متحده از آن پشتیبانی می‌کند، کشفیات آسیب‌پذیری‌ها را بررسی می‌کند و در صورت پذیرش، یک شماره CVE به آسیب‌پذیری اختصاص می‌دهد که به عنوان شماره شناسایی آن آسیب‌پذیری خاص عمل می‌کند.

کشف آسیب پذیری در گوتنبرگ

تحقیقات امنیتی آنچه را که تصور می‌شود یک آسیب‌پذیری است، کشف کرد. این اکتشاف به CVE ارسال شد، و کشف مورد تایید قرار گرفت و یک شماره شناسه CVE به آن اختصاص یافت، و این کشف به یک آسیب‌پذیری رسمی تبدیل شد.

آسیب‌پذیری XSS با شماره شناسه CVE-2022-33994 داده شد.

گزارش آسیب‌پذیری که در سایت CVE منتشر شد شامل این توضیحات است:

“افزونه گوتنبرگ تا ۱۳.۷.۳ برای وردپرس به XSS ذخیره شده توسط نقش Contributor از طریق یک سند SVG به ویژگی “Insert from URL” اجازه می دهد.

توجه: بارگذاری XSS در زمینه دامنه نمونه وردپرس اجرا نمی شود. با این حال، تلاش‌های مشابه توسط کاربران با امتیاز پایین برای ارجاع اسناد SVG توسط برخی از محصولات مشابه مسدود می‌شود و این تفاوت رفتاری ممکن است برای برخی از مدیران سایت وردپرس ارتباط امنیتی داشته باشد.”

این بدان معناست که شخصی با امتیازات سطح Contributor می‌تواند باعث درج یک فایل مخرب در وب‌سایت شود.

روش انجام آن این است که تصویر را از طریق URL وارد کنید.

در گوتنبرگ، سه راه برای آپلود تصویر وجود دارد.

1. آن را آپلود کنید
2. یک تصویر موجود را از کتابخانه رسانه وردپرس انتخاب کنید
3. تصویر را از یک URL وارد کنید

آخرین روش جایی است که آسیب‌پذیری از آنجا ناشی می‌شود، زیرا به گفته این محقق امنیتی، می‌توان تصویری را با هر نام فایل پسوندی از طریق URL در وردپرس آپلود کرد که ویژگی آپلود اجازه نمی‌دهد.

آیا واقعاً یک آسیب پذیری است؟

محقق این آسیب‌پذیری را به وردپرس گزارش کرد. اما به گفته شخصی که آن را کشف کرده است، وردپرس آن را به عنوان یک آسیب پذیری تایید نکرده است.

این چیزی است که محقق نوشت:

“من یک آسیب پذیری ذخیره شده Cross Site Scripting در وردپرس پیدا کردم که رد شد و توسط تیم وردپرس به عنوان اطلاعاتی برچسب گذاری شد.

امروز چهل و پنجمین روز از زمانی است که آسیب‌پذیری را گزارش کرده‌ام، اما هنوز آسیب‌پذیری از زمان نوشتن این وصله نشده است…”

بنابراین به نظر می‌رسد که این سوال وجود دارد که آیا وردپرس درست است و بنیاد CVE مورد حمایت دولت ایالات متحده اشتباه می‌کند (یا برعکس) در مورد اینکه آیا این یک آسیب‌پذیری XSS است.

محقق اصرار دارد که این یک آسیب‌پذیری واقعی است و برای تأیید این ادعا، پذیرش CVE را پیشنهاد می‌کند.

علاوه بر این، محقق اشاره یا پیشنهاد می‌کند که وضعیتی که افزونه گوتنبرگ وردپرس اجازه آپلود تصاویر از طریق URL را می‌دهد، ممکن است عمل خوبی نباشد، با توجه به اینکه شرکت‌های دیگر اجازه این نوع آپلود را نمی‌دهند.

“اگر اینطور است، پس به من بگویید چرا… …شرکت هایی مانند Google و Slack تا حدی پیش رفتند که فایل هایی را که روی یک URL بارگذاری می شوند اعتبارسنجی کنند و اگر مشخص شد که SVG هستند آنها را رد می کنند!

…Google و Slack… اجازه نمی دهند فایل های SVG روی URL بارگیری شوند، کاری که وردپرس انجام می دهد!”

چه باید کرد؟

WordPress اصلاحی برای این آسیب‌پذیری صادر نکرده است، زیرا به نظر می‌رسد باور ندارند که آسیب‌پذیری یا مشکلی است.

گزارش رسمی آسیب‌پذیری بیان می‌کند که نسخه‌های گوتنبرگ تا ۱۳.۷.۳ حاوی این آسیب‌پذیری هستند.

اما ۱۳.۷.۳ جدیدترین نسخه است.

طبق تغییرات لاگ رسمی وردپرس گوتنبرگ که همه تغییرات گذشته را ثبت می‌کند و همچنین شرحی از تغییرات آینده را منتشر می‌کند، هیچ اصلاحی برای این آسیب‌پذیری (ادعای) وجود ندارد و هیچ برنامه‌ریزی‌شده‌ای وجود ندارد.

بنابراین سؤال این است که آیا چیزی برای اصلاح وجود دارد یا خیر.

نقل قول ها

گزارش پایگاه داده آسیب پذیری دولت ایالات متحده در مورد آسیب پذیری

جزئیات CVE-2022-33994

گزارش منتشر شده در سایت رسمی CVE

جزئیات CVE-2022-33994

یافته های محقق را بخوانید

CVE-2022-33994: – ذخیره XSS در وردپرس

تصویر ویژه توسط Shutterstock/Kues