¿Se halló una puerta de inseguridad en el complemento de WordPress Gutenberg?

La banco de información nacional de inseguridades del gobierno de EE. UU. ha anunciado una observación sobre una puerta de inseguridad descubierta en el complemento oficial de WordPress Gutenberg. Pero según la persona que lo halló, diríase que WordPress no reconoció que tenía que ver con una puerta de inseguridad.

Puerta de inseguridad de secuencias de comandos entre sitios (XSS) guardadas.

XSS es un género de puerta de inseguridad que sucede en el momento en que alguien puede cargar algo como un script que comunmente no estaría tolerado mediante un módulo u otro procedimiento.

La mayor parte de los formularios del portal web y otras entradas validarán que se estima lo que se actualiza y filtrarán los ficheros peligrosos.

Un caso de muestra es un módulo de carga de imágenes que no impide que un agresor cargue un script malicioso.

Según el Emprendimiento de Seguridad de Apps Web Abiertas sin ánimo de lucrar, una organización pensada en contribuir a progresar la seguridad del programa, esto puede ocurrir con un ataque XSS exitoso:

“Un agresor puede utilizar XSS para mandar un script malicioso a un usuario desprevenido.

El navegador del usuario final no posee forma de entender que el script no es de seguridad y ejecutará el script.

Ya que piensa que el script procede de una fuente fiable, el script malicioso puede entrar a cualquier cookie, token de sesión u otra información confidencial guardada por el navegador y usada con ese lugar.

Estos scripts tienen la posibilidad de aun escribir de nuevo el contenido de la página HTML».

Inseguridades y exposiciones recurrentes – CVE

Una organización llamada CVE sirve como una manera de documentar las inseguridades y llevar a cabo públicos los desenlaces.

La organización, apoyada por el Departamento de Seguridad Nacional de EE. UU., mira los desenlaces de la puerta de inseguridad y, si se admite, asignará a la puerta de inseguridad un número CVE que sirve como número de identificación de la puerta de inseguridad.

Puerta de inseguridad descubierta en Gutenberg

La investigación de seguridad descubrió lo que se pensaba que era una puerta de inseguridad. El hallazgo se envió a CVE y se aprobó y se le dio un número de identificación de CVE, lo que transforma al hallazgo en una puerta de inseguridad oficial.

A la puerta de inseguridad XSS se le asignó el número de identificación CVE-2022-33994.

El informe de puerta de inseguridad que se publicó en el sitio de CVE tiene dentro esta descripción:

«El complemento Gutenberg hasta 13.7.3 para WordPress deja que el papel de colaborador archive XSS mediante un archivo SVG en la función ‘Insertar desde dirección de Internet’.

NOTA: La carga útil de XSS no se ejecuta en el contexto del dominio de la instancia de WordPress; no obstante, ciertos artículos afines bloquean intentos afines de clientes con escasos permisos para preguntar documentos SVG, y esta disparidad en el accionar tiene la posibilidad de tener importancia en la seguridad para muchos gestores de sitios de WordPress».

Esto quiere decir que alguien con permisos de nivel de colaborador puede lograr que se ponga un fichero malicioso en el ubicación.

La manera de llevarlo a cabo es engastar la imagen mediante una dirección de Internet.

En Gutenberg, hay tres maneras de cargar una imagen.

subirlo
Escoja una imagen que existe de la biblioteca de medios de WordPress
Insertar la imagen desde una dirección de Internet

Este último procedimiento es la fuente de la puerta de inseguridad, por el hecho de que según el estudioso de seguridad, es viable cargar una imagen con cualquier extensión del archivo a WordPress por medio de una dirección de Internet, lo que la función de carga no deja.

¿Es verdaderamente una puerta de inseguridad?

El estudioso reportó la puerta de inseguridad a WordPress. Pero según la persona que lo descubrió, WordPress no lo reconoció como una puerta de inseguridad.

O sea lo que escribió el estudioso:

“Podemos encontrar una puerta de inseguridad de secuencias de comandos cruzadas guardadas en WordPress que fue rechazada y etiquetada como divulgación por el equipo de WordPress.

El día de hoy es el día 45 desde el momento en que notificamos la puerta de inseguridad, pero la puerta de inseguridad no se ha corregido en el instante de redactar este producto…»

Conque semeja haber inquietudes sobre si WordPress es acertado y si la fundación CVE apoyada por el gobierno de EE. UU. está equivocada (o al reves) si hablamos de una puerta de inseguridad XSS.

El estudioso reitera que que hablamos de una puerta de inseguridad auténtica y proporciona la aceptación de CVE para validar esta afirmación.

Además de esto, el estudioso recomienda o recomienda que la situación donde el complemento Gutenberg de WordPress deja cargar imágenes mediante una dirección de Internet puede no ser una aceptable práctica, y apunta que otras compañías no dejan este género de carga.

“Si es de esta forma, dígame por qué razón… ¡compañías como Google plus y Slack llegaron al punto de validar los ficheros que se suben a una dirección de Internet y negar los ficheros si resultan ser SVG!

… Google plus y Slack… no dejan que los ficheros SVG se carguen en una dirección de Internet, ¡lo que hace WordPress!

¿Qué llevar a cabo?

WordPress no solventó esta puerta de inseguridad pues no semeja meditar que sea una puerta de inseguridad o un inconveniente.

El informe oficial de puerta de inseguridad establece que las ediciones de Gutenberg hasta la 13.7.3 poseen la puerta de inseguridad.

Pero 13.7.3 es la última versión.

Según el registro de cambios oficial de Gutenberg de WordPress, que registra todos y cada uno de los cambios pasados y asimismo publica una descripción de los cambios futuros, no hubo resoluciones para esta (supuesta) puerta de inseguridad y no se tiene planeado ninguna.

Entonces el interrogante es si hay algo que reparar o no.

mencionado

Informe de puerta de inseguridad de la banco de información de puerta de inseguridad del gobierno de EE. UU.

CVE-2022-33994 Aspecto

Informe anunciado en el sitio oficial de CVE

CVE-2022-33994 Aspecto

Lea las conclusiones del estudioso

CVE-2022-33994: – XSS guardado en WordPress

Imagen cortesía de Shutterstock/Kues

Fuente: searchenginejournal

Hashtags: #halló #una #puerta de inseguridad #complemento #WordPress #Gutenberg

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.