Vulnerabilidad en Squidex (CVE-2023-46744)

Squidex es un centro de gestión de contenidos y CMS headless de código abierto. En las versiones afectadas, una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado permite la escalada de privilegios de los usuarios autenticados. El mecanismo de filtrado de elementos SVG destinado a detener los ataques XSS a través de imágenes SVG cargadas es insuficiente, lo que resulta en ataques XSS almacenados. Squidex permite a los contribuyentes de CMS obtener permiso para cargar un activo SVG. Cuando se carga el activo, se realiza un mecanismo de filtrado para validar que el SVG no contenga código malicioso. La lógica de validación consiste en recorrer los nodos HTML en el DOM. Para que la validación se realice correctamente, se deben cumplir 2 condiciones: 1. No hay etiquetas HTML incluidas en una "lista negra" llamada "InvalidSvgElements". Esta lista sólo contiene el elemento "script". y 2. Ningún atributo de las etiquetas HTML comienza con "on" (es decir, onerror, onclick) (línea 65). Si alguna de las 2 condiciones no se cumple, la validación falla y el archivo/activo no se carga. Sin embargo, es posible omitir el mecanismo de filtrado anterior y ejecutar código JavaScript arbitrario introduciendo otros elementos HTML como un elemento con un atributo "src" que contenga un valor "javascript:". Los adversarios autenticados con el permiso "assets.create" pueden aprovechar esta vulnerabilidad para cargar un SVG malicioso como activo, dirigido a cualquier usuario registrado que intente abrir/ver el activo a través del CMS Squidex.