Una startup de Berlín ha revelat una vulnerabilitat d'execució remota de codi (RCE) i una falla de seqüència de comandaments de llocs creuats (XSS) a Pling, que s'utilitza en diversos catàlegs d'aplicacions construïdes en aquesta plataforma i que podria permetre s'executi codi JavaScript en el context d'altres usuaris. Els llocs afectats són alguns dels principals catàlegs d'aplicacions de programari lliure com ara store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com entre d'altres.
Positive Security, que va trobar els forats va dir que els errors encara són presents en el codi Pling i que els seus mantenidors no han respost als informes de vulnerabilitat.
A principis d'aquest any, analitzem com les aplicacions d'escriptori populars manegen els URI proporcionades per l'usuari i trobem vulnerabilitats d'execució de codi en diverses d'elles. Una de les aplicacions que vaig verificar ser el KDE Discover App Store, que va resultar gestionar URI que no eren de confiança de manera insegura (CVE-2021-28117, Avís de seguretat del KDE).
En el camí, vaig trobar ràpidament diverses vulnerabilitats més greus en altres mercats de programari lliure.
Un XSS amb cucs amb potencial per atacs a la cadena de subministrament en els mercats basats en Pling i un RCE drive-by que afecta els usuaris de l'aplicació PlingStore encara es poden explotar.
Pling es presenta com un mercat perquè els creatius carreguin temes i gràfics d'escriptori de Linux, entre altres coses, amb l'esperança d'obtenir alguns guanys dels partidaris. Ve en dues parts: el codi necessari per executar el seu propi basar de bling i una aplicació basada en Electron que els usuaris poden instal·lar per administrar els seus temes des d'un soc de Pling. El codi web té el XSS i el client té el XSS i un RCE. Pling impulsa diversos llocs, des pling.com i store.kde.org fins gnome-look.org i xfce-look.org.
L'essència de el problema és que la plataforma Pling permet l'addició de blocs multimèdia en format HTML, per exemple, per inserir un vídeo de YouTube o una imatge. El codi agregat a través del formulari no està validat correctament, el que permet afegir codi maliciós sota l'aparença d'una imatge i col·locar informació en el directori que executarà el codi JavaScript quan es veu. Si la informació s'obrirà als usuaris que tenen un compte, llavors és possible iniciar accions en el directori en nom d'aquest usuari, inclosa l'addició d'una trucada JavaScript a les seves pàgines, implementant una espècie de cuc de xarxa.
A més, S'ha identificat una vulnerabilitat en l'aplicació PlingStore, escrit utilitzant la plataforma Electron i que li permet navegar a través dels directoris de OpenDesktop sense un navegador i instal·lar els paquets que es presenten allà. Una vulnerabilitat en PlingStore permet que el seu codi s'executi en el sistema de l'usuari.
Quan l'aplicació PlingStore s'està executant, el procés ocs-manager s'inicia addicionalment, acceptant connexions locals a través de websocket i executant ordres com carregar i llançar aplicacions en el format AppImage. Se suposa que les ordres són transmesos per l'aplicació PlingStore, però de fet, a causa de la manca d'autenticació, es pot enviar una sol·licitud a ocs-manager des del navegador de l'usuari. Si un usuari obre un lloc maliciós, pot iniciar una connexió amb ocs-manager i fer que el codi s'executi en el sistema de l'usuari.
També s'informa d'una vulnerabilitat XSS en el directori extensions.gnome.org; en el camp amb l'URL de la pàgina d'inici de l'complement, pot especificar un codi JavaScript amb el format «javascript: codi» i quan feu clic a l'enllaç, el JavaScript especificat es llançarà en lloc d'obrir el lloc de el projecte.
D'una banda, el problema és més especulatiu, Ja que s'està moderant la ubicació en el directori extensions.gnome.org i l'atac requereix no només obrir una determinada pàgina, sinó també un clic explícit a l'enllaç. D'altra banda, és possible que durant la verificació, el moderador vulgui anar a el lloc de el projecte, ignorar el formulari d'enllaç i executar el codi JavaScript en el context del seu compte.
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.