美国政府的国家漏洞数据库发布了关于在 WordPress Gutenberg 中发现漏洞CVE-2022-33994的安全通知。但据发现它的人称,WordPress官方并不承认这是一个漏洞。截止到目前,也未对该“漏洞”进行修复。
存储跨站脚本 (XSS) 漏洞
XSS 是一种漏洞,当有人可以通过表单或其他方法上传通常不允许的脚本之类的内容时,就会发生这种漏洞。
一般来说网页程序会验证正在上传的内容是否符合安全标准,并过滤掉危险文件。
例如,上传图片的表单未能有效阻止攻击者上传恶意脚本。
根据非营利组织 Open Web Application Security Project 的说法,成功的 XSS 攻击可能会发生以下情况:
“攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。
最终用户的浏览器无法知道该脚本不应被信任,并执行该脚本。
因为它认为脚本来自受信任的来源,所以恶意脚本可以访问浏览器保留并与该站点一起使用的任何 cookie、会话令牌或其他敏感信息。
这些脚本甚至可以重写 HTML 页面的内容。”
https://owasp.org/www-community/attacks/xss/
在Gutenberg发现漏洞
安全研究员发现了一个被认为是“漏洞”的东西。该发现已提交给 CVE(该组织由美国国土安全部支持),现在已经被批准并分配了一个 CVE ID 号(作为该特定漏洞的识别号),从而使该发现成为CVE官方漏洞。
这次发现的XSS 漏洞的 ID 号为 CVE-2022-33994。
CVE 发布的漏洞报告包含以下信息:
“从 13.7.3 到 WordPress 的 Gutenberg 插件允许贡献者角色将 SVG 文档通过 XSS 存储到“从 URL 插入”功能。
注意:XSS 负载不会在 WordPress 实例域的上下文中执行;但是,低权限用户引用 SVG 文档的类似尝试被一些类似产品阻止,这种行为差异可能与一些 WordPress 站点管理员的安全策略相关。”
CVE-2022-33994
这意味着具有贡献者级别权限的人可能会将恶意文件插入网站。
方法是通过 URL 插入图像。
在Gutenberg(古腾堡),插入图片有三种方式:
- 媒体库上传
- 从 WordPress 媒体库中选择现有图像
- 从 URL 插入图像
最后一种方法是漏洞的来源,因为据安全研究人员称,可以通过 URL 将具有任何扩展名的图像上传到 WordPress,而媒体库上传功能不允许这样做。
CVE-2022-33994真的是一个漏洞吗?
研究人员向 WordPress 报告了该漏洞。但据发现它的人说,WordPress 并没有承认它是一个漏洞。
“我在 WordPress 中发现了一个存储的跨站点脚本漏洞,该漏洞被 WordPress 团队拒绝并标记为信息丰富。
今天是我报告该漏洞的第 45 天,但截至撰写本文时,该漏洞尚未修补……”
研究人员
因此,关于这是不是 XSS 漏洞似乎存在疑问,或者换言之, WordPress 是不是对的?
研究人员坚持认为这是一个真正的漏洞。
此外,研究人员暗示 WordPress Gutenberg 插件允许通过 URL 上传图像的情况可能不是一个好的做法,并指出其他公司不允许这种上传。例如:像 Google 和 Slack 这样的公司会验证通过 URL 加载的文件,如果发现文件是 SVG,则拒绝这些文件!
WordPress 尚未针对该漏洞发布修复程序,因为他们不认为这是一个漏洞。
根据官方 WordPress Gutenberg 更新日志记录了所有过去的更改并发布了对未来更改的描述,没有针对此(所谓的)漏洞的修复,也没有公布修复计划。
