En opstart fra Berlin har afsløret en sårbarhed med ekstern kodeudførelse (RCE) og et cross-site script (XSS) -fejl i Pling, som bruges i forskellige applikationskataloger, der er bygget på denne platform, og som kan tillade, at JavaScript-kode udføres i sammenhæng med andre brugere. De berørte websteder er nogle af de vigtigste gratis kataloger til softwareapplikationer såsom store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com blandt andre.
Positiv sikkerhed, som fandt hullerne, sagde, at fejlene stadig er til stede i Pling-koden, og at dens vedligeholdere ikke har reageret på sårbarhedsrapporterne.
Tidligere i år så vi på, hvordan populære desktop-apps håndterer bruger-leverede URI'er og fandt svagheder i kodeudførelse i flere af dem. En af de apps, jeg tjekkede, var KDE Discover App Store, som viste sig at håndtere utroede URI'er på en usikker måde (CVE-2021-28117, KDE Security Advisory).
Undervejs fandt jeg hurtigt flere alvorlige sårbarheder på andre markeder for fri software.
En ormede XSS med potentiale for angreb på forsyningskæden på Pling-baserede markeder og en drive-by RCE, der påvirker PlingStore-applikationsbrugere, kan stadig udnyttes.
Pling præsenterer sig som en markedsplads for reklamer, der kan uploade temaer og grafik Linux desktop, blandt andet i håb om at få noget overskud fra tilhængere. Den kommer i to dele: koden, der er nødvendig for at køre deres egen bling-basar og en elektronbaseret applikation, som brugerne kan installere for at administrere deres temaer fra en Pling-souk. Webkoden har XSS, og klienten har XSS og en RCE. Pling styrker flere steder, fra pling.com og store.kde.org til gnome-look.org og xfce-look.org.
Problemets kerne er det platformen Pling tillader tilføjelse af multimedieblokke i HTML-format, for eksempel at indsætte en YouTube-video eller et billede. Koden tilføjet gennem formularen valideres ikke korrekt, hvad giver dig mulighed for at tilføje ondsindet kode under dække af et billede og læg oplysninger i kataloget, som JavaScript-koden udfører, når de vises. Hvis oplysningerne åbnes for brugere, der har en konto, er det muligt at igangsætte handlinger i biblioteket på vegne af denne bruger, herunder tilføje et JavaScript-opkald til deres sider og implementere en slags netværksorm.
Også, er der identificeret en sårbarhed i PlingStore-applikationen, skrevet ved hjælp af Electron-platformen og giver dig mulighed for at navigere gennem OpenDesktop-mapper uden en browser og installere de pakker, der præsenteres der. En sårbarhed i PlingStore gør det muligt for koden at køre på brugerens system.
Når PlingStore-applikationen kører, startes ocs-manager-processen desuden, accepterer lokale forbindelser via WebSocket og udføre kommandoer som f.eks. indlæsning og start af applikationer i AppImage-format. Kommandoerne formodes at blive transmitteret af PlingStore-applikationen, men på grund af manglende godkendelse kan en anmodning sendes til ocs-manager fra brugerens browser. Hvis en bruger åbner et ondsindet websted, kan de starte en forbindelse med ocs-manager og få koden kørt på brugerens system.
En XSS-sårbarhed rapporteres også i biblioteket extensions.gnome.org; I feltet med URL'en til plugins startside kan du angive en JavaScript-kode i formatet "javascript: code", og når du klikker på linket, vil den angivne JavaScript blive lanceret i stedet for at åbne projektwebstedet.
På den ene side, problemet er mere spekulativt, da placeringen i mappen extensions.gnome.org modereres, og angrebet kræver ikke kun at åbne en bestemt side, men også et eksplicit klik på linket. På den anden side vil moderatoren muligvis gå til projektwebstedet, ignorere linkformularen og køre JavaScript-koden i forbindelse med deres konto under verifikationen.
Endelig, hvis du er interesseret i at vide mere om det, kan du konsultere detaljerne i følgende link.