SummerNote 0.8.18’de CVE-2024-37629 olarak takip edilen önemli bir güvenlik açığı keşfedildi. Kod Görüntüleme İşlevi aracılığıyla Siteler Arası Komut Dosyası Çalıştırmaya (XSS) olanak tanır.
Summernote, çevrimiçi WYSIWYG editörleri oluşturmanıza yardımcı olan bir JavaScript kitaplığıdır.
Bir saldırgan, siteler arası komut dosyası çalıştırma (XSS) olarak bilinen bir teknik aracılığıyla güvenilir bir uygulamanın veya web sitesinin koduna zararlı yürütülebilir komut dosyaları ekleyebilir.
XSS saldırısı genellikle bir saldırganın kullanıcıyı kendisine gönderdiği kötü amaçlı bir bağlantıya tıklamaya teşvik etmesiyle başlatılır.
Güvenlik araştırmacısı Sergio Medeiros’a göre 10.000 Web uygulamasında basit bir XSS yüküyle kullanılabilecek 0 günlük bir güvenlik açığı bulunuyor.
Düzenleyicide XSS Güvenlik Açığı Bulma
Benzer XSS endişelerine sahip olduğu bilinen CKEditor ve TinyMCE gibi diğer editörlerle bağlantılı önceki güvenlik açıkları göz önüne alındığında, güvenlik araştırmacısı WYSIWYG Editörünün kendisini araştırmayı seçti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot.
Bu, kullanıcıların WYSIWYG düzenleyicisinin özelliklerini doğrudan ana sayfada görmelerine olanak tanıyan SummerNote web sitesine yol açtı.
Ayrıca kod tabanını incelemek için kullanılabilecek GitHub deposuna bir URL de eklediler.
Kullanıcılar, editörün Kod Görünümü işlevini test ederken girdilerini HTML bileşenleriyle biçimlendirebilirler.
Araştırmacı, WYSIWYG editörünün “kötü amaçlı” girişi nasıl işlediğini gözlemlemek için aşağıdaki XSS yükünü sağlamayı seçti:
.webp)
“Yükümü ayarladıktan sonra, Düzenleyicinin veri yükümü işleyip işlemediğini ve yürütüp yürütmediğini görmek için Kod Görünümü işlevini devre dışı bırakmak için düğmeyi kullanın.
Şaşırtıcı bir şekilde XSS yükünün ve vektörünün geçerli olduğunu onaylayan bir uyarı kutusu aldım!” dedi araştırmacı.
.webp)
Kod Görünümü işlevi temizlenmediğinden, DOM’a ulaştıktan sonra kötü amaçlı JavaScript kodunu yürütmek üzere kötü amaçlı XSS yüklerini enjekte etmek mümkün oldu.
Bu analize göre 10.000’den fazla web tabanlı uygulama bu WYSIWYG editörünü kullanıyor.
Summernote düzenleyicisi kullanıcı girişi biçimlendirmesini yönettiğinden, bazı kullanıcılar web uygulaması içindeki sistemik, kalıcı XSS sorunlarına sürekli olarak duyarlıdır.
Dolayısıyla bu, hevesli bilgisayar korsanlarına “veri yükü oluşturma ve kullanma” konusunda işleri basit tutmanın bazen daha iyi olduğu konusunda bilgi vermelidir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free