Startup z Berlína odhalila chybu zabezpečení vzdáleného spuštění kódu (RCE) a chyba skriptu mezi weby (XSS) v Plingu, který se používá v různých aplikačních katalozích postavených na této platformě a který umožňuje provádění kódu JavaScript v kontextu ostatních uživatelů. Dotčené weby jsou některé z hlavních katalogů bezplatných softwarových aplikací jako např. store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
Společnost Positive Security, která našla díry, uvedla, že chyby jsou stále přítomny v kódu Pling a že jeho správci nereagovali na zprávy o chybě zabezpečení.
Začátkem tohoto roku jsme se podívali na to, jak populární aplikace pro stolní počítače zpracovávají uživatelské identifikátory URI a v několika z nich jsme našli chyby zabezpečení při provádění kódu. Jednou z aplikací, které jsem zkontroloval, byl KDE Discover App Store, který se ukázal zpracovávat nedůvěryhodné identifikátory URI nejistým způsobem (CVE-2021-28117, KDE Security Advisory).
Během toho jsem rychle našel několik vážnějších zranitelností na jiných trzích se svobodným softwarem.
Červený XSS s potenciálem pro útoky na dodavatelský řetězec na trzích založených na Plingu a motivovaný RCE ovlivňující uživatele aplikace PlingStore lze stále využívat.
Pling se prezentuje jako tržiště kreativ pro nahrávání motivů a grafiky Desktop pro Linux, mimo jiné v naději, že získá nějaký zisk z příznivců. Dodává se ve dvou částech: kód potřebný ke spuštění vlastního blingového bazaru a aplikace založené na elektronech, kterou si uživatelé mohou nainstalovat pro správu svých témat z Pling souk. Webový kód má XSS a klient má XSS a RCE. Pling ovládá několik webů, od pling.com a store.kde.org po gnome-look.org a xfce-look.org.
Podstata problému je to platforma Pling umožňuje přidání multimediálních bloků ve formátu HTML, například pro vložení videa nebo obrázku YouTube. Kód přidaný prostřednictvím formuláře není ověřen správně, co umožňuje přidat škodlivý kód pod rouškou obrázku a vložte do adresáře informace, které kód JavaScript provede při prohlížení. Pokud se informace otevřou uživatelům, kteří mají účet, je možné zahájit akce v adresáři jménem tohoto uživatele, včetně přidání volání JavaScriptu na jejich stránky a implementace jakéhokoli síťového červa.
Také, v aplikaci PlingStore byla zjištěna chyba zabezpečení, napsáno pomocí platformy Electron a umožňuje vám procházet adresáři OpenDesktop bez prohlížeče a instalovat zde uvedené balíčky. Chyba zabezpečení v PlingStore umožňuje spuštění jeho kódu v systému uživatele.
Když je spuštěna aplikace PlingStore, je navíc spuštěn proces ocs-manager, přijímání místních připojení prostřednictvím WebSocket a spouštění příkazů, jako je načítání a spouštění aplikací ve formátu AppImage. Příkazy mají být přenášeny aplikací PlingStore, ale ve skutečnosti z důvodu nedostatečného ověření lze odeslat požadavek na správce Ocs z prohlížeče uživatele. Pokud uživatel otevře škodlivý web, může navázat spojení s ocs-managerem a nechat kód spustit v systému uživatele.
Chyba zabezpečení XSS je také uvedena v adresáři extensions.gnome.org; V poli s adresou URL domovské stránky pluginu můžete zadat kód JavaScriptu ve formátu „javascript: code“ a po kliknutí na odkaz se místo otevření stránky projektu spustí zadaný JavaScript.
Na jedné straně, problém je spekulativnější, protože umístění v adresáři extensions.gnome.org je moderováno a útok vyžaduje nejen otevření určité stránky, ale také explicitní kliknutí na odkaz. Na druhou stranu, během ověřování může moderátor chtít přejít na web projektu, ignorovat formulář odkazu a spustit kód JavaScript v kontextu svého účtu.
Nakonec, pokud máte zájem o tom vědět více, můžete se poradit podrobnosti v následujícím odkazu.