Nei giorni scorsi il National Vulnerability Database, un ente governativo degli Stati Uniti, ha segnalato la probabile presenza di una vulnerabilità sull’editor ufficiale scelto da WordPress, ovvero Gutenberg. La persona che l’ha segnalata ha raccontato di averlo fatto già da molto tempo ma di aver ricevuto una risposta negativa da parte degli sviluppatori del CMS, che non la considererebbero come tale.
La vulnerabilità in questione sarebbe di tipo XSS, ciò significa che un agente malevolo potrebbe riuscire ad ottenere privilegi tali da poter inserire codice malevolo all’interno dei siti. La falla riscontrata su Gutenberg consentirebbe ad una persona col ruolo di collaboratore al sito di creare i presupposti per un XSS soltanto caricando un file in formato SVG. Quest’ultima può creare problemi solo se inserita mediante il comando “inserisci tramite URL”, mentre su Gutenberg ci sono altre due modalità di caricamento dei contenuti, ovvero l’upload del file e la scelta dell’immagine tra quelle già caricate.
Nonostante la riluttanza di WordPress a considerarla una vera vulnerabilità, essa è già stata ufficializzata ed ha ricevuto un codice: CVE-2022-33994. Gli sviluppatori non la ritengono pericolosa al punto da giustificare un intervento ma, spiega lo scopritore della falla, molte altre realtà già vietano di caricare contenuti in formato SVG quando viene effettuato l’upload mediante URL. Il segnalatore, da questo punto di vista, ritiene che questa non sia una buona pratica e che sia quantomeno pericoloso continuare a consentirla.
Ad ora, tutte le versioni di Gutenberg fino all’attuale (la 13.7.3) sono affette dalla falla in oggetto ed all’orizzonte non c’è alcuna intenzione di effettuare bug fixing. A questo punto si tratta solo di aspettare e vedere chi avrà ragione e se accadrà qualcosa che faccia cambiare idea agli sviluppatori di WordPress.
Fonte: 1