Kerentanan Ditemukan Di Plugin WordPress Gutenberg?

Kerentanan Ditemukan Di Plugin WordPress Gutenberg?

Basis Data Kerentanan Nasional pemerintah Amerika Serikat menerbitkan pemberitahuan tentang kerentanan yang ditemukan di plugin WordPress Gutenberg resmi. Namun menurut orang yang menemukannya, WordPress dikatakan belum mengakui kerentanannya.

Kerentanan Cross-Site Scripting (XSS) Tersimpan

XSS adalah jenis kerentanan yang terjadi ketika seseorang dapat mengunggah sesuatu seperti skrip yang biasanya tidak diizinkan melalui formulir atau metode lain.

Sebagian besar formulir dan masukan situs web lainnya akan memvalidasi bahwa apa yang sedang diperbarui diharapkan dan akan menyaring file berbahaya.

Contohnya adalah formulir untuk mengunggah gambar yang gagal memblokir penyerang untuk mengunggah skrip berbahaya.

Menurut Proyek Keamanan Aplikasi Web Terbuka nirlaba, sebuah organisasi yang berfokus pada membantu meningkatkan keamanan perangkat lunak, inilah yang bisa terjadi dengan serangan XSS yang berhasil:

“Seorang penyerang dapat menggunakan XSS untuk mengirim skrip berbahaya ke pengguna yang tidak curiga.

Peramban pengguna akhir tidak memiliki cara untuk mengetahui bahwa skrip tidak boleh dipercaya, dan akan mengeksekusi skrip.

Karena menganggap skrip berasal dari sumber tepercaya, skrip berbahaya dapat mengakses cookie, token sesi, atau informasi sensitif lainnya yang disimpan oleh browser dan digunakan dengan situs tersebut.

Skrip ini bahkan dapat menulis ulang konten halaman HTML.”

Kerentanan & Eksposur Umum – CVE

Sebuah organisasi bernama CVE berfungsi sebagai cara untuk mendokumentasikan kerentanan dan mempublikasikan penemuan kepada publik.

Organisasi, yang didukung oleh Departemen Keamanan Dalam Negeri AS, memeriksa penemuan kerentanan dan, jika diterima, akan menetapkan kerentanan nomor CVE yang berfungsi sebagai nomor identifikasi kerentanan spesifik tersebut.

Penemuan Kerentanan Di Gutenberg

Penelitian keamanan menemukan apa yang diyakini sebagai kerentanan. Penemuan itu diserahkan ke CVE, dan penemuan itu disetujui dan diberi nomor ID CVE, menjadikan penemuan itu sebagai kerentanan resmi.

Kerentanan XSS diberi nomor ID CVE-2022-33994.

Laporan kerentanan yang dipublikasikan di situs CVE berisi deskripsi ini:

“Plugin Gutenberg melalui 13.7.3 untuk WordPress memungkinkan XSS yang disimpan oleh peran Kontributor melalui dokumen SVG ke fitur “Sisipkan dari URL”.

CATATAN: payload XSS tidak dijalankan dalam konteks domain instans WordPress; namun, upaya serupa oleh pengguna dengan hak istimewa rendah untuk mereferensikan dokumen SVG diblokir oleh beberapa produk serupa, dan perbedaan perilaku ini mungkin memiliki relevansi keamanan dengan beberapa administrator situs WordPress.”

Itu berarti bahwa seseorang dengan hak istimewa tingkat Kontributor dapat menyebabkan file berbahaya dimasukkan ke dalam situs web.

Caranya adalah dengan menyisipkan gambar melalui URL.

Di Gutenberg, ada tiga cara untuk mengunggah gambar.

  1. Unggah
  2. Pilih gambar yang ada dari WordPress Media Library
  3. Masukkan gambar dari URL

Metode terakhir adalah dari mana kerentanan berasal karena, menurut peneliti keamanan, seseorang dapat mengunggah gambar dengan nama file ekstensi apa pun ke WordPress melalui URL, yang tidak diizinkan oleh fitur unggah.

Apakah Ini Benar-Benar Kerentanan?

Peneliti melaporkan kerentanan terhadap WordPress. Namun menurut orang yang menemukannya, WordPress tidak mengakuinya sebagai kerentanan.

Inilah yang peneliti tulis:

“Saya menemukan kerentanan Stored Cross Site Scripting di WordPress yang ditolak dan diberi label Informatif oleh Tim WordPress.

Hari ini adalah hari ke-45 sejak saya melaporkan kerentanan tersebut, namun kerentanan tersebut belum ditambal hingga tulisan ini dibuat…”

Jadi tampaknya ada pertanyaan apakah WordPress benar dan yayasan CVE yang didukung Pemerintah AS salah (atau sebaliknya) tentang apakah ini kerentanan XSS.

Peneliti bersikeras bahwa ini adalah kerentanan nyata dan menawarkan penerimaan CVE untuk memvalidasi klaim itu.

Lebih lanjut, peneliti menyiratkan atau menyarankan bahwa situasi di mana plugin WordPress Gutenberg mengizinkan pengunggahan gambar melalui URL mungkin bukan praktik yang baik, dengan mencatat bahwa perusahaan lain tidak mengizinkan pengunggahan semacam itu.

“Jika demikian, beri tahu saya mengapa… …perusahaan seperti Google dan Slack melakukan validasi file yang dimuat melalui URL dan menolak file jika ternyata SVG!

…Google dan Slack… tidak mengizinkan file SVG dimuat melalui URL, seperti yang dilakukan WordPress!”

Apa yang harus dilakukan?

WordPress belum mengeluarkan perbaikan untuk kerentanan karena mereka tampaknya tidak percaya bahwa itu adalah kerentanan atau yang menimbulkan masalah.

Laporan kerentanan resmi menyatakan bahwa versi Gutenberg hingga 13.7.3 mengandung kerentanan.

Tapi 13.7.3 adalah versi terbaru.

Menurut changelog WordPress Gutenberg resmi yang mencatat semua perubahan masa lalu dan juga menerbitkan deskripsi perubahan di masa mendatang, belum ada perbaikan untuk kerentanan (dugaan) ini, dan tidak ada yang direncanakan.

Jadi pertanyaannya adalah apakah ada yang harus diperbaiki atau tidak.

kutipan

Laporan Database Kerentanan Pemerintah AS tentang Kerentanan

Detail CVE-2022-33994

Laporan Dipublikasikan di Situs Resmi CVE

Detail CVE-2022-33994

Baca Temuan Peneliti

CVE-2022-33994:- Disimpan XSS di WordPress


Gambar unggulan oleh Shutterstock/Kues

Share

Leave a Reply

Your email address will not be published. Required fields are marked *