پایگاه ملی آسیبپذیری دولت ایالات متحده، اعلان آسیبپذیری کشف شده در افزونه رسمی وردپرس گوتنبرگ را منتشر کرد. اما طبق گفته شخصی که آن را پیدا کرده است، گفته می شود وردپرس این آسیب پذیری را تایید نکرده است.
آسیبپذیری Stored Cross-Site Scripting (XSS)
XSS نوعی آسیبپذیری است که زمانی اتفاق میافتد که فردی بتواند چیزی مانند یک اسکریپت را بارگذاری کند که معمولاً از طریق فرم یا روش دیگری مجاز نیست.
اکثر فرمها و سایر ورودیهای وبسایت تأیید میکنند که آنچه در حال بهروزرسانی است مورد انتظار است و فایلهای خطرناک را فیلتر میکنند.
نمونهای فرمی برای آپلود تصویری است که مهاجم را از آپلود یک اسکریپت مخرب مسدود نمیکند.
طبق پروژه غیرانتفاعی Open Web Application Security Project، سازمانی با تمرکز بر کمک به بهبود امنیت نرم افزار، این چیزی است که با یک حمله موفق XSS اتفاق می افتد:
«یک مهاجم میتواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر ناآگاه استفاده کند.
مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.
از آنجایی که فکر میکند اسکریپت از منبع قابل اعتمادی آمده است، اسکریپت مخرب میتواند به کوکیها، نشانههای جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده میشود، دسترسی داشته باشد.
این اسکریپتها حتی میتوانند محتوای صفحه HTML را بازنویسی کنند.”
آسیب پذیری ها و مواجهه های رایج – CVE
سازمانی به نام CVE به عنوان راهی برای مستندسازی آسیبپذیریها و انتشار اکتشافات به عموم مردم عمل میکند.
سازمان که وزارت امنیت داخلی ایالات متحده از آن پشتیبانی میکند، کشفیات آسیبپذیریها را بررسی میکند و در صورت پذیرش، یک شماره CVE به آسیبپذیری اختصاص میدهد که به عنوان شماره شناسایی آن آسیبپذیری خاص عمل میکند.
کشف آسیب پذیری در گوتنبرگ
تحقیقات امنیتی آنچه را که تصور میشود یک آسیبپذیری است، کشف کرد. این اکتشاف به CVE ارسال شد، و کشف مورد تایید قرار گرفت و یک شماره شناسه CVE به آن اختصاص یافت، و این کشف به یک آسیبپذیری رسمی تبدیل شد.
آسیبپذیری XSS با شماره شناسه CVE-2022-33994 داده شد.
گزارش آسیبپذیری که در سایت CVE منتشر شد شامل این توضیحات است:
“افزونه گوتنبرگ تا ۱۳.۷.۳ برای وردپرس به XSS ذخیره شده توسط نقش Contributor از طریق یک سند SVG به ویژگی “Insert from URL” اجازه می دهد.
توجه: بارگذاری XSS در زمینه دامنه نمونه وردپرس اجرا نمی شود. با این حال، تلاشهای مشابه توسط کاربران با امتیاز پایین برای ارجاع اسناد SVG توسط برخی از محصولات مشابه مسدود میشود و این تفاوت رفتاری ممکن است برای برخی از مدیران سایت وردپرس ارتباط امنیتی داشته باشد.”
این بدان معناست که شخصی با امتیازات سطح Contributor میتواند باعث درج یک فایل مخرب در وبسایت شود.
روش انجام آن این است که تصویر را از طریق URL وارد کنید.
در گوتنبرگ، سه راه برای آپلود تصویر وجود دارد.
- آن را آپلود کنید
- یک تصویر موجود را از کتابخانه رسانه وردپرس انتخاب کنید
- تصویر را از یک URL وارد کنید
آخرین روش جایی است که آسیبپذیری از آنجا ناشی میشود، زیرا به گفته این محقق امنیتی، میتوان تصویری را با هر نام فایل پسوندی از طریق URL در وردپرس آپلود کرد که ویژگی آپلود اجازه نمیدهد.
آیا واقعاً یک آسیب پذیری است؟
محقق این آسیبپذیری را به وردپرس گزارش کرد. اما به گفته شخصی که آن را کشف کرده است، وردپرس آن را به عنوان یک آسیب پذیری تایید نکرده است.
این چیزی است که محقق نوشت:
“من یک آسیب پذیری ذخیره شده Cross Site Scripting در وردپرس پیدا کردم که رد شد و توسط تیم وردپرس به عنوان اطلاعاتی برچسب گذاری شد.
امروز چهل و پنجمین روز از زمانی است که آسیبپذیری را گزارش کردهام، اما هنوز آسیبپذیری از زمان نوشتن این وصله نشده است…”
بنابراین به نظر میرسد که این سوال وجود دارد که آیا وردپرس درست است و بنیاد CVE مورد حمایت دولت ایالات متحده اشتباه میکند (یا برعکس) در مورد اینکه آیا این یک آسیبپذیری XSS است.
محقق اصرار دارد که این یک آسیبپذیری واقعی است و برای تأیید این ادعا، پذیرش CVE را پیشنهاد میکند.
علاوه بر این، محقق اشاره یا پیشنهاد میکند که وضعیتی که افزونه گوتنبرگ وردپرس اجازه آپلود تصاویر از طریق URL را میدهد، ممکن است عمل خوبی نباشد، با توجه به اینکه شرکتهای دیگر اجازه این نوع آپلود را نمیدهند.
“اگر اینطور است، پس به من بگویید چرا… …شرکت هایی مانند Google و Slack تا حدی پیش رفتند که فایل هایی را که روی یک URL بارگذاری می شوند اعتبارسنجی کنند و اگر مشخص شد که SVG هستند آنها را رد می کنند!
…Google و Slack… اجازه نمی دهند فایل های SVG روی URL بارگیری شوند، کاری که وردپرس انجام می دهد!”
چه باید کرد؟
WordPress اصلاحی برای این آسیبپذیری صادر نکرده است، زیرا به نظر میرسد باور ندارند که آسیبپذیری یا مشکلی است.
گزارش رسمی آسیبپذیری بیان میکند که نسخههای گوتنبرگ تا ۱۳.۷.۳ حاوی این آسیبپذیری هستند.
اما ۱۳.۷.۳ جدیدترین نسخه است.
طبق تغییرات لاگ رسمی وردپرس گوتنبرگ که همه تغییرات گذشته را ثبت میکند و همچنین شرحی از تغییرات آینده را منتشر میکند، هیچ اصلاحی برای این آسیبپذیری (ادعای) وجود ندارد و هیچ برنامهریزیشدهای وجود ندارد.
بنابراین سؤال این است که آیا چیزی برای اصلاح وجود دارد یا خیر.
نقل قول ها
گزارش پایگاه داده آسیب پذیری دولت ایالات متحده در مورد آسیب پذیری
جزئیات CVE-2022-33994
گزارش منتشر شده در سایت رسمی CVE
جزئیات CVE-2022-33994
یافته های محقق را بخوانید
CVE-2022-33994: – ذخیره XSS در وردپرس
تصویر ویژه توسط Shutterstock/Kues