Otkrili su ranjivost u Plingu koja utječe na KDE Store, OpenDesktop, AppImage i druge trgovine

Startup iz Berlina je otkrio ranjivost udaljenog izvršavanja koda (RCE) i nedostatak skripte na više lokacija (XSS) u Plingu, koja se koristi u raznim katalozima aplikacija izgrađenim na ovoj platformi i koja može omogućiti izvršavanje JavaScript koda u kontekstu drugih korisnika. Pogođene web stranice su neki od glavnih kataloga aplikacija za besplatni softver kao što su store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com, između ostalog.

Pozitivna sigurnost, koja je pronašla rupe, rekla je da su greške i dalje prisutne u Pling kodu i da njegovi održavači nisu odgovorili na izvještaje o ranjivosti.

Ranije ove godine pogledali smo kako popularne aplikacije za računare rukuju URI-jem koje su isporučili korisnici i pronašli ranjivosti u izvršavanju koda u nekoliko njih. Jedna od aplikacija koju sam provjerio je KDE Discover App Store, za koju se ispostavilo da obrađuje nepovjerene URI-je na nesigurni način (CVE-2021-28117, KDE sigurnosno upozorenje).

Usput sam brzo pronašao nekoliko ozbiljnijih ranjivosti na drugim tržištima slobodnog softvera.

Crv XSS s potencijalom za napade u lancu opskrbe na tržištima zasnovanim na Plingu i drive-by RCE koji utječu na korisnike aplikacija PlingStore i dalje se mogu iskoristiti.

Pling se predstavlja kao tržište kreativaca za postavljanje tema i grafika Linux radna površina, između ostalog, u nadi da će zaraditi nešto od pristalica. Dolazi iz dva dijela: kôd potreban za pokretanje vlastitog bling bazara i aplikacije zasnovane na Electronu koju korisnici mogu instalirati za upravljanje svojim temama iz Pling souka. Web kôd ima XSS, a klijent XSS i RCE. Pling pokreće nekoliko web lokacija, od pling.com i store.kde.org do gnome-look.org i xfce-look.org.

Suština problema je li to platforma Pling omogućava dodavanje multimedijskih blokova u HTML formatu, na primjer, za umetanje YouTube videa ili slike. Kôd dodan putem obrasca nije potvrđen tačno, šta omogućava vam dodavanje zlonamernog koda pod maskom slike i u direktorij stavite informacije koje će JavaScript kôd izvršiti prilikom gledanja. Ako će se informacije otvoriti korisnicima koji imaju račun, tada je moguće pokrenuti akcije u direktoriju u ime ovog korisnika, uključujući dodavanje JavaScript poziva na njihove stranice, implementirajući neku vrstu mrežnog crva.

Pored toga, identificirana je ranjivost u aplikaciji PlingStore, napisano pomoću platforme Electron i omogućava vam kretanje kroz direktorijume OpenDesktop bez pregledača i instaliranje tamo predstavljenih paketa. Ranjivost u PlingStoreu omogućava da se njegov kôd izvodi na korisnikovom sistemu.

Kada je pokrenuta aplikacija PlingStore, dodatno se pokreće postupak ocs-manager, prihvatanje lokalnih veza putem WebSocket-a i izvršavanje naredbi poput učitavanja i pokretanja aplikacija u AppImage formatu. Naredbe bi trebala prenositi aplikacija PlingStore, ali zapravo, zbog nedostatka provjere autentičnosti, zahtjev se iz korisničkog preglednika može poslati ocs-manageru. Ako korisnik otvori zlonamjernu web lokaciju, može pokrenuti vezu s ocs-managerom i pokrenuti kôd na korisnikovom sistemu.

XSS ranjivost je takođe prijavljena u direktoriju extensions.gnome.org; U polju s URL-om početne stranice dodatka možete odrediti JavaScript kôd u formatu "javascript: code" i kada kliknete na vezu, navedeni JavaScript će se pokrenuti umjesto otvaranja web lokacije projekta.

S jedne strane, problem je spekulativniji, budući da se lokacija u direktoriju extensions.gnome.org moderira i napad zahtijeva ne samo otvaranje određene stranice, već i eksplicitni klik na vezu. S druge strane, tijekom provjere, moderator će možda htjeti otići na web mjesto projekta, zanemariti obrazac veze i pokrenuti JavaScript kôd u kontekstu svog računa.

Napokon, ako vas zanima više o tome, možete se posavjetovati detalje na sljedećem linku.


Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.