La base de données nationale des vulnérabilités du gouvernement des États-Unis a publié une notification d’une vulnérabilité découverte dans le plugin officiel WordPress Gutenberg. Mais selon la personne qui l’a trouvé, WordPress n’aurait pas reconnu qu’il s’agissait d’une vulnérabilité.
Vulnérabilité de script intersite stocké (XSS)
XSS est un type de vulnérabilité qui se produit lorsque quelqu’un peut télécharger quelque chose comme un script qui ne serait normalement pas autorisé via un formulaire ou une autre méthode.
La plupart des formulaires et autres entrées de sites Web valideront que ce qui est mis à jour est attendu et filtrera les fichiers dangereux.
Un exemple est un formulaire pour télécharger une image qui ne parvient pas à empêcher un attaquant de télécharger un script malveillant.
Selon l’organisation à but non lucratif Open Web Application Security Project, une organisation axée sur l’amélioration de la sécurité des logiciels, c’est ce qui peut arriver avec une attaque XSS réussie:
« Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance.
Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé et exécutera le script.
Parce qu’il pense que le script provient d’une source fiable, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservés par le navigateur et utilisés avec ce site.
Ces scripts peuvent même réécrire le contenu de la page HTML.
Vulnérabilités et expositions courantes – CVE
Une organisation nommée CVE sert de moyen de documenter les vulnérabilités et de faire connaître les découvertes au public.
L’organisation, soutenue par le Département américain de la sécurité intérieure, examine les découvertes de vulnérabilités et, si elles sont acceptées, attribuera à la vulnérabilité un numéro CVE qui servira de numéro d’identification de cette vulnérabilité spécifique.
Découverte d’une vulnérabilité chez Gutenberg
La recherche en sécurité a découvert ce que l’on croyait être une vulnérabilité. La découverte a été soumise au CVE, et la découverte a été approuvée et un numéro d’identification CVE lui a été attribué, faisant de la découverte une vulnérabilité officielle.
La vulnérabilité XSS a reçu le numéro d’identification CVE-2022-33994.
Le rapport de vulnérabilité qui a été publié sur le site CVE contient cette description:
“Le plugin Gutenberg jusqu’à 13.7.3 pour WordPress permet au XSS stocké par le rôle Contributeur via un document SVG de la fonction “Insérer à partir de l’URL”.
REMARQUE : la charge utile XSS ne s’exécute pas dans le contexte du domaine de l’instance WordPress ; cependant, des tentatives analogues d’utilisateurs à faibles privilèges pour référencer des documents SVG sont bloquées par certains produits similaires, et cette différence de comportement pourrait avoir une pertinence en matière de sécurité pour certains administrateurs de sites WordPress.
Cela signifie qu’une personne disposant de privilèges de niveau Contributeur peut provoquer l’insertion d’un fichier malveillant dans le site Web.
La façon de le faire est d’insérer l’image via une URL.
Dans Gutenberg, il existe trois façons de télécharger une image.
- Télécharger
- Choisissez une image existante dans la bibliothèque multimédia WordPress
- Insérer l’image à partir d’une URL
Cette dernière méthode est à l’origine de la vulnérabilité car, selon le chercheur en sécurité, on peut télécharger une image avec n’importe quel nom de fichier d’extension sur WordPress via une URL, ce que la fonctionnalité de téléchargement ne permet pas.
Est-ce vraiment une vulnérabilité ?
Le chercheur a signalé la vulnérabilité à WordPress. Mais selon la personne qui l’a découvert, WordPress ne l’a pas reconnu comme une vulnérabilité.
Voici ce que le chercheur a écrit :
“J’ai trouvé une vulnérabilité de Stored Cross Site Scripting dans WordPress qui a été rejetée et étiquetée comme Informative par l’équipe WordPress.
Aujourd’hui est le 45e jour depuis que j’ai signalé la vulnérabilité et pourtant la vulnérabilité n’est pas corrigée au moment d’écrire ceci… »
Il semble donc qu’il y ait une question de savoir si WordPress a raison et la fondation CVE soutenue par le gouvernement américain a tort (ou vice-versa) quant à savoir s’il s’agit d’une vulnérabilité XSS.
Le chercheur insiste sur le fait qu’il s’agit d’une réelle vulnérabilité et propose l’acceptation CVE pour valider cette affirmation.
De plus, le chercheur implique ou suggère que la situation où le plugin WordPress Gutenberg permet de télécharger des images via une URL pourrait ne pas être une bonne pratique, notant que d’autres sociétés n’autorisent pas ce type de téléchargement.
« Si c’est le cas, alors dites-moi pourquoi… … des entreprises comme Google et Slack sont allées jusqu’à valider les fichiers qui sont chargés sur une URL et à rejeter les fichiers s’ils s’avèrent être du SVG !
…Google et Slack… n’autorisent pas le chargement des fichiers SVG sur une URL, contrairement à WordPress !
Que faire?
WordPress n’a pas publié de correctif pour la vulnérabilité car ils ne semblent pas croire qu’il s’agit d’une vulnérabilité ou d’une vulnérabilité qui présente un problème.
Le rapport de vulnérabilité officiel indique que les versions de Gutenberg jusqu’à 13.7.3 contiennent la vulnérabilité.
Mais 13.7.3 est la version la plus récente.
Selon le journal des modifications officiel de WordPress Gutenberg qui enregistre toutes les modifications passées et publie également une description des modifications futures, il n’y a pas eu de correctifs pour cette vulnérabilité (présumée), et aucun n’est prévu.
La question est donc de savoir s’il y a quelque chose à corriger ou non.
Citations
Rapport de la base de données sur la vulnérabilité du gouvernement américain sur la vulnérabilité
Rapport publié sur le site officiel CVE
Lire les découvertes du chercheur
CVE-2022-33994 : – XSS stocké dans WordPress
Image sélectionnée par Shutterstock/Kues
— to www.searchenginejournal.com
Jeu de briques
Snake
Pacman
Bubble