[Resolved] Ayuda con Fallas de Seguridad (Según IBM Security AppScan

[Author]

Posts

[Agustín Bella]

Hola! me pasaron un informe sobre el sitio hidden link. Me podrían indicar cómo puedo solucionar estos inconvenientes que tienen que ver con el Plugin Views? Adjunto también las recomendaciones de IBM y un link al informe completo: hidden link

[Amit Kvint]

Hola,

Soy Amit Toolset support manager.

Hemos pasado al equipo de desarrollo los datos del informe de IBM, en breve te responderemos,

Salu2!
Amit

[Juan]

Hola, Agustín.

Soy Juan, team leader de Toolset. Muchas gracias por tu detallado análisis.

He estado revisando el informe que enlazas, y todas las referencias a código de nuestros plugins. Me gustaría extenderme para explicar por qué considero que son falsos positivos.

Enlace a sitio malicioso, inexistente, sin clasificar

En todos los cases, los enlaces aparecen en archivos de una librería de terceros, Codemirror, y se concentran en un archivo concreto donde se enlazan usos reales de la librería. Ese archivo puede estar desfasado, obsoleto e incluir enlaces a sitios que ya no existen, o cuya clasificación de seguridad ha cambiado.

En cualquier caso, ninguno de esos enlaces es añadido a tu página web bajo ningún concepto.

A pesar de que no suponen un problema de seguridad, tomamos nota para limpiar esta y otras librerías de documentación, ejemplos y otros archivos innecesarios.

Inyección de SQL a ciegas

Sin más información al respecto, me temo que debo referirme a nuestras prácticas habituales. Toolset tiene dos maneras de interactuar con la base de datos:

• Mediante el uso de funcciones y métodos nativos de WordPress, asegurados y verificados por la propia plataforma.
• Construyendo comandos de SQL propios, que después pasan por le método estándar de securización de la propia plataforma:

  wpdb prepare

  .

En cualquier caso, nuestros accesos a la base de datos son seguros según el estándar de la plataforma.

Nuestro código no contiene ninguna referencia a una entidad

wpv-wpcf-cobertura

, que supongo corresponde a algún tipo de contenido definido por el administrador del sitio. Si puedes proporcionarnos más información al respecto estaré encantado de hacer un análisis más profundo.

Listados de directorios y acceso a listados

Este punto se puede resolver mediante una directriz del servidor. Si bien es cierto que podríamos incluir archivos de índice en cada uno de nuestros directorios, no suele ser práctica habitual.

Comprobación de soporte de SRI

De nuevo, un archivo de ejemplo de la librería de terceros Codemirror include scripts de un tercer dominio, que podrían verse comprometidos.

Ese ejemplo nunca se incluye en el sitio web, y en el peor de los casos ese script no tiene acceso a ningún tipo de datos ni a la base de datos. En cualquier caso, como comento arriba, tomo nota para limpiar esos archivos de ejemplo.

Patrón de error en la base de datos / Detectado script de prueba

Algunos ejemplos de esa librería Codemirror contienen formularios, pero en ningún caso los datos aportados allí acceden, puede modificar o alterar la base de datos. De hecho, esos ejemplos no se incluyen en la página web.

Patrón de correo electrónico

Es una práctica muy común que las librerías de javascript contengan una referencia al email de su creador, o al email del grupo que mantiene la librería. Ninguna de dichas direcciones de email supone una amenaza.

----------------------

Como ves, todos los resultados que apuntan a código en nuestros plugins parecen falsos positivos. Me gustaría contar con más información sobre la supuesta vulnerabilidad de inyección SQL, si puedes proporcionarla.

En cualquier caso, espero haber resuelto tus dudas.

Un saludo.

[Agustín Bella]

Gracias Juan! Muchísimas gracias por los detalles!

Quería aclarar que mi intención no era que revisaran el informe completo (como lo relativo a los directorios que ya lo arreglé) sino solamente lo relativo a su plugin.

Toda la información que tengo es la que envié (Informe IBM). Podría darles acceso al WordPress para que echen un vistazo si es que pueden para revisar lo de wpv-wpcf-cobertura que es item de campos de entrada (soy usuario principiante de Toolset así que creo no haber tocado nada raro).

Lo que más me preocupa es fixear los 4 elementos Críticos Altos, así que agradecería si pueden limpiar esas librerías que mencionás ASAP y si podrías darme una fecha estimativa para eso o no.

Gracias de nuevo por su tiempo y aprovecho para felicitarlos por la herramienta a la que todos los días le encuentro algo nuevo y útil!

[Juan]

Hola, Agustín

Ahora mismo estamos terminando nuestra ronda de pruebas para liberar una nueva versión de los plugins, y está ya muy avanzada. Podríamos eliminar esos archivos y seguramente sin ningún riesgo, pero no estoy seguro de que un cambio tan relevante deba hacerse tan tarde. Por lo que puede que retrasemos esa limpieza al menos una versión más.

De todas formas, intentaré revisar si es posible eliminarlos ahora mismo.

Respecto al campo wpv-wpcf-cobertura, seguramente no sea necesario entrar a tu sitio para ver cómo se usa. Si te animas a describir el campo y cómo lo usas tú será más que suficiente.

Como suposición, los campos pueden aparecer en el sitio de dos formas:
- como parte de un formulario para crear contenidos. En este caso, todos los datos se manipulan con funciones nativas de WordPress que se ocupan de securizarlos antes de acceder a la base de datos.
- como parte de un formulario para buscar contenidos. E este caso, el valor de los campos siempre es securizado correctamente antes de mandarlo a una consulta de búsqueda a la base de datos.

Espero que ayude.

Un saludo.

[Nigel]

Hola Agustín

Déjame cambiar el estado de este hilo para que no se queda en mi cola.

Si tienes más información puedes contestar, si no, puedes cerrarlo.