La falla permitió que JavaScript malicioso se incrustara en un archivo SVG.
Se ha reparado una vulnerabilidad de secuencias de comandos entre sitios ( XSS ) en PrivateBin, el pastebin seguro de código abierto. PrivateBin, una bifurcación del popular ZeroBin, es una herramienta en línea que se utiliza para almacenar información y se cifra/descifra en el navegador mediante AES de 256 bits, lo que significa que el servidor tiene "conocimiento cero de los datos pegados".
Descubierta por Ian Budd de la firma de seguridad Nethemba, la falla permite que el código JavaScript malicioso se incruste en un archivo de imagen SVG, que luego se puede adjuntar a las pastas.
Si un usuario abre un pegado con un adjunto SVG diseñado específicamente e interactúa con la imagen de vista previa mientras la instancia no está protegida por una política de seguridad de contenido adecuada , un atacante también puede ejecutar código.
“Es muy fácil crear la carga útil y enviarla a otros usuarios”, dice Budd a The Daily Swig .
“La parte complicada es que el usuario tendría que abrir la vista previa de la imagen en una nueva pestaña; PrivateBin detalló cómo se puede lograr esto de manera realista en su informe. “Al ejecutarse con éxito, podría permitir el acceso a cookies no protegidas, datos de almacenamiento local, datos de almacenamiento de sesión, etc., para otras aplicaciones que se ejecutan en el mismo dominio, donde dichas cookies están presentes en el navegador de la víctima. Esto puede incluir tokens de autenticación”.
Baja probabilidad de ataque
Budd dice que las posibilidades de que un ataque tenga éxito serían relativamente bajas, ya que requiere explícitamente la interacción del usuario y porque el código de explotación potencial solo puede ejecutarse en una nueva pestaña.
“PrivateBin ya había hecho un gran trabajo al crear una Política de seguridad de contenido ( CSP ) que mitigó el problema”, dice. "La vulnerabilidad se encontró cuando se usaba un navegador que no respetaba o seguía este CSP o sitios para los que se había editado el CSP predeterminado, lo que redujo la efectividad".
Sin embargo, Nethemba encontró varias instancias en sus listas de instancias que parecían eliminar el CSP o cambiarlo a una configuración insegura, con dos que tenían archivos adjuntos habilitados y, por lo tanto, eran vulnerables al ataque. Sin embargo, no hubo informes de que la vulnerabilidad se explotara activamente.
Divulgación
La falla se informó el 22 de febrero y los detalles se publicaron el 9 de abril.
“La divulgación fue sencilla. Nos comunicamos con Simon Rupf, quien realizó su propia serie de pruebas y nos mantuvo informados de sus hallazgos”, dice Budd.
“Discutimos las mitigaciones y PrivateBin nos mantuvo informados en cada paso del camino”.
PrivateBin dice que ha mitigado la vulnerabilidad en la vista previa y alienta a los administradores de servidores a actualizar a una versión con la corrección o asegurarse de que el CSP de su instancia esté configurado correctamente. También ha ampliado su herramienta de listado de directorios para incluir un mecanismo de verificación.
Fuente: portswigger | somoslibres
