WordPress Gutenberg Güvenlik Açığı, Amerika Birleşik Devletleri hükümetinin Ulusal Güvenlik Açığı Veritabanı, resmi WordPress Gutenberg eklentisinde keşfedilen bir güvenlik açığıyla ilgili bir bildirim yayınladı. Ancak onu bulan kişiye göre, WordPress’in bunun bir güvenlik açığı olduğunu kabul etmediği söyleniyor.
Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı
XSS, birisi normalde bir form veya başka bir yöntemle izin verilmeyen bir komut dosyası gibi bir şey yükleyebildiğinde ortaya çıkan bir tür güvenlik açığıdır.
Çoğu form ve diğer web sitesi girdileri, güncellenenlerin beklendiğini doğrulayacak ve tehlikeli dosyaları filtreleyecektir.
Bir örnek, bir saldırganın kötü amaçlı bir komut dosyası yüklemesini engelleyemeyen bir görüntü yükleme formudur.
Kar amacı gütmeyen Açık Web Uygulama Güvenliği Projesi’ne göre, yazılım güvenliğini geliştirmeye odaklanan bir kuruluş, başarılı bir XSS saldırısında şunlar olabilir:
“Bir saldırgan, şüphelenmeyen bir kullanıcıya kötü amaçlı bir komut dosyası göndermek için XSS kullanabilir. Son kullanıcının tarayıcısının, komut dosyasına güvenilmemesi gerektiğini bilmesinin hiçbir yolu yoktur ve komut dosyasını yürütür. Komut dosyasının güvenilir bir kaynaktan geldiğini düşündüğü için kötü amaçlı komut dosyası, tarayıcı tarafından tutulan ve bu siteyle kullanılan tüm tanımlama bilgilerine, oturum belirteçlerine veya diğer hassas bilgilere erişebilir. Bu komut dosyaları, HTML sayfasının içeriğini bile yeniden yazabilir.”
According to the non-profit Open Web Application Security Project
Yaygın Güvenlik Açıkları ve Etkilenmeler – CVE
CVE adlı bir kuruluş, güvenlik açıklarını belgelemenin ve keşifleri halka duyurmanın bir yolu olarak hizmet eder.
ABD İç Güvenlik Bakanlığı’nın desteklediği kuruluş, güvenlik açıklarının keşiflerini inceler ve kabul edilirse, güvenlik açığına, söz konusu güvenlik açığının kimlik numarası olarak hizmet eden bir CVE numarası atar.
Gutenberg’de Güvenlik Açığı Keşfi
Güvenlik araştırması, bir güvenlik açığı olduğuna inanılan şeyi keşfetti. Keşif CVE’ye sunuldu ve keşif onaylandı ve bir CVE ID numarası verildi, bu da keşfi resmi bir güvenlik açığı haline getirdi.
XSS güvenlik açığına CVE-2022-33994 kimlik numarası verildi. CVE sitesinde yayınlanan güvenlik açığı raporu şu açıklamayı içerir:
“WordPress için 13.7.3’e kadar olan Gutenberg eklentisi, Katılımcı rolü tarafından bir SVG belgesi aracılığıyla “URL’den Ekle” özelliğine depolanan XSS’ye izin verir. NOT: XSS yükü, WordPress örneğinin etki alanı bağlamında yürütülmez; ancak, düşük ayrıcalıklı kullanıcıların SVG belgelerine başvurmaya yönelik benzer girişimleri bazı benzer ürünler tarafından engellenir ve bu davranışsal farklılık, bazı WordPress site yöneticileri için güvenlikle ilgili olabilir.
CVE sitesinde yayınlanan güvenlik açığı raporu
Bu, Katılımcı düzeyinde ayrıcalıklara sahip birinin web sitesine kötü amaçlı bir dosya eklenmesine neden olabileceği anlamına gelir. Bunu yapmanın yolu, resmi bir URL aracılığıyla eklemektir. Gutenberg’de resim yüklemenin üç yolu vardır.
- Yükle
- WordPress Medya Kitaplığı’ndan mevcut bir resim seçin
- Resmi bir URL’den ekleyin
Bu son yöntem, güvenlik açığının nereden geldiğidir, çünkü güvenlik araştırmacısına göre, herhangi bir uzantı dosya adına sahip bir resim, yükleme özelliğinin izin vermediği bir URL aracılığıyla WordPress’e yüklenebilir.
WordPress Gutenberg Güvenlik Açığı Gerçekten Bir Güvenlik Açığı mı?
Araştırmacı, WordPress güvenlik açığını bildirdi. Ancak onu keşfeden kişiye göre, WordPress bunu bir güvenlik açığı olarak kabul etmedi. Araştırmacının yazdığı şey şu:
“WordPress’te, WordPress Ekibi tarafından reddedilen ve Bilgilendirici olarak etiketlenen Stored Cross Site Scripting güvenlik açığı buldum. Bugün güvenlik açığını bildirdiğimden bu yana 45. gün ve bunu yazarken güvenlik açığı düzeltilmedi…”
Araştırmacının yazdığı şey
Öyle görünüyor ki, bunun bir XSS güvenlik açığı olup olmadığı konusunda WordPress’in doğru olup olmadığı ve ABD Hükümeti tarafından desteklenen CVE vakfının yanlış (veya tam tersi) olup olmadığı konusunda bir soru var.
Araştırmacı, bunun gerçek bir güvenlik açığı olduğunda ısrar ediyor ve bu iddiayı doğrulamak için CVE kabulü sunuyor.
Ayrıca, araştırmacı, WordPress Gutenberg eklentisinin bir URL üzerinden resim yüklemeye izin verdiği durumun iyi bir uygulama olmayabileceğini ima ediyor veya öneriyor, diğer şirketlerin bu tür yüklemelere izin vermediğine dikkat çekiyor.
“Öyleyse, bana nedenini söyleyin… …Google ve Slack gibi şirketler, bir URL üzerinden yüklenen dosyaları doğrulama ve SVG olduğu tespit edilirse dosyaları reddetme noktasına geldi! …Google ve Slack… WordPress’in yaptığı gibi, SVG dosyalarının bir URL üzerinden yüklenmesine izin vermez!”
Araştırmacı, bunun gerçek bir güvenlik açığı olduğunda ısrar ediyor
Ne yapalım? WordPress Gutenberg Güvenlik Açığı
WordPress, güvenlik açığı veya sorun oluşturduğuna inanmadıkları için güvenlik açığı için bir düzeltme yayınlamadı.
Resmi güvenlik açığı raporu, 13.7.3’e kadar olan Gutenberg sürümlerinin güvenlik açığını içerdiğini belirtir. Ancak 13.7.3 en güncel sürümdür.
Tüm geçmiş değişiklikleri kaydeden ve gelecekteki değişikliklerin bir açıklamasını yayınlayan resmi WordPress Gutenberg değişiklik günlüğüne göre, bu (iddia edilen) güvenlik açığı için herhangi bir düzeltme yapılmadı ve planlanmış bir şey de yok. Yani soru, düzeltilecek bir şey olup olmadığıdır.