شركة ناشئة من برلين كشف عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) وخطأ في البرنامج النصي عبر المواقع (XSS) في Pling ، والتي تُستخدم في كتالوجات تطبيقات متنوعة مبنية على هذا النظام الأساسي والتي يمكن أن تسمح بتنفيذ تعليمات JavaScript البرمجية في سياق مستخدمين آخرين. المواقع المتأثرة هي بعض من كتالوجات تطبيقات البرامج المجانية الرئيسية مثل store.kde.org و appimagehub.com و gnome-look.org و xfce-look.org و pling.com من بين أمور أخرى.
قالت شركة Positive Security ، التي وجدت الثغرات ، إن الأخطاء لا تزال موجودة في كود Pling وأن المشرفين عليها لم يستجيبوا لتقارير الثغرات الأمنية.
في وقت سابق من هذا العام ، نظرنا في كيفية تعامل تطبيقات سطح المكتب الشائعة مع URIs التي يوفرها المستخدم ووجدنا ثغرات في تنفيذ التعليمات البرمجية في العديد منها. كان أحد التطبيقات التي راجعتها هو KDE Discover App Store ، والذي اتضح أنه يتعامل مع URIs غير الموثوق بها بطريقة غير آمنة (CVE-2021-28117 ، KDE Security Advisory).
على طول الطريق ، وجدت بسرعة العديد من نقاط الضعف الأكثر خطورة في أسواق البرمجيات الحرة الأخرى.
لا يزال من الممكن استغلال XSS الديدان مع احتمال وقوع هجمات على سلسلة التوريد في الأسواق القائمة على Pling و RCE الذي يؤثر على مستخدمي تطبيق PlingStore.
يقدم Pling نفسه كسوق للمبدعين لتحميل السمات والرسومات سطح مكتب Linux ، من بين أمور أخرى ، على أمل الحصول على بعض الأرباح من المؤيدين. يتألف من جزأين: الكود اللازم لتشغيل سوق bling bazaar الخاص بهم وتطبيقًا قائمًا على الإلكترون يمكن للمستخدمين تثبيته لإدارة موضوعاتهم من سوق Pling. كود الويب يحتوي على XSS والعميل لديه XSS و RCE. تعمل Pling على تشغيل العديد من المواقع ، من pling.com و store.kde.org إلى gnome-look.org و xfce-look.org.
جوهر المشكلة هي تلك المنصة يسمح Pling بإضافة كتل الوسائط المتعددة بتنسيق HTML ، على سبيل المثال ، لإدراج صورة أو فيديو YouTube. لم يتم التحقق من صحة الرمز المضاف من خلال النموذج بشكل صحيح ، ماذا يسمح لك بإضافة تعليمات برمجية ضارة تحت ستار الصورة ووضع المعلومات في الدليل الذي سيتم تنفيذ كود JavaScript عند عرضه. إذا تم فتح المعلومات للمستخدمين الذين لديهم حساب ، فمن الممكن بدء الإجراءات في الدليل نيابة عن هذا المستخدم ، بما في ذلك إضافة استدعاء JavaScript إلى صفحاتهم ، وتنفيذ نوع من دودة الشبكة.
أيضا، تم التعرف على ثغرة أمنية في تطبيق PlingStore ، مكتوبة باستخدام منصة Electron وتسمح لك بالتنقل عبر أدلة OpenDesktop بدون متصفح وتثبيت الحزم المعروضة هناك. تسمح الثغرة الأمنية في PlingStore بتشغيل كودها على نظام المستخدم.
عند تشغيل تطبيق PlingStore ، تبدأ عملية مدير ocs-manager ، قبول الاتصالات المحلية من خلال WebSocket وتنفيذ أوامر مثل تحميل وتشغيل التطبيقات بتنسيق AppImage. من المفترض أن يتم إرسال الأوامر بواسطة تطبيق PlingStore ، ولكن في الواقع ، نظرًا لعدم وجود مصادقة ، يمكن إرسال طلب إلى مدير ocs-manager من متصفح المستخدم. إذا فتح المستخدم موقعًا ضارًا ، فيمكنه بدء اتصال بـ ocs-manager وتشغيل الكود على نظام المستخدم.
تم الإبلاغ عن ثغرة XSS أيضًا في دليل extension.gnome.org ؛ في الحقل الذي يحتوي على عنوان URL للصفحة الرئيسية للمكون الإضافي ، يمكنك تحديد كود JavaScript بالتنسيق "javascript: code" وعند النقر فوق الارتباط ، سيتم تشغيل JavaScript المحدد بدلاً من فتح موقع المشروع.
من جهة، المشكلة أكثر تخمينيةنظرًا لأن الموقع في دليل extension.gnome.org يخضع للإشراف ولا يتطلب الهجوم فتح صفحة معينة فحسب ، بل يتطلب أيضًا نقرة صريحة على الرابط. من ناحية أخرى ، أثناء التحقق ، قد يرغب الوسيط في الانتقال إلى موقع المشروع ، وتجاهل نموذج الارتباط ، وتشغيل كود JavaScript في سياق حسابه.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك استشارة التفاصيل في الرابط التالي.