Ein Startup aus Berlin hat eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung aufgedeckt (RCE) und ein Cross-Site-Script (XSS)-Fehler in Pling, die in verschiedenen auf dieser Plattform aufgebauten Anwendungskatalogen verwendet wird und die die Ausführung von JavaScript-Code im Kontext anderer Benutzer ermöglichen könnte. Bei den betroffenen Websites handelt es sich um einige der wichtigsten Anwendungskataloge für kostenlose Software wie store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com unter anderem.
Positive Security, die die Lücken gefunden hat, sagte, dass die Fehler immer noch im Pling-Code vorhanden sind und dass die Betreuer nicht auf die Schwachstellenberichte reagiert haben.
Anfang dieses Jahres haben wir uns angeschaut, wie beliebte Desktop-Apps mit vom Benutzer bereitgestellten URIs umgehen, und in mehreren von ihnen Schwachstellen bei der Codeausführung gefunden. Eine der Apps, die ich überprüft habe, war der KDE Discover App Store, der sich als unsicher mit nicht vertrauenswürdigen URIs herausstellte (CVE-2021-28117, KDE Security Advisory).
Auf dem Weg dorthin fand ich schnell mehrere ernstere Schwachstellen in anderen Märkten für freie Software.
Ein entwurmter XSS mit Potenzial für Supply-Chain-Angriffe in Pling-basierten Märkten und ein Drive-by-RCE, der Benutzer der PlingStore-Anwendung betrifft, können weiterhin ausgenutzt werden.
Pling präsentiert sich als Marktplatz für Kreative zum Hochladen von Themes und Grafiken Linux-Desktop unter anderem in der Hoffnung, von Unterstützern etwas zu verdienen. Es kommt in zwei Teilen: den Code, der benötigt wird, um ihren eigenen Bling-Basar und eine Electron-basierte Anwendung zu betreiben, die Benutzer installieren können, um ihre Themen von einem Pling-Souk aus zu verwalten. Der Webcode hat das XSS und der Client hat das XSS und ein RCE. Pling betreibt mehrere Websites, von pling.com und store.kde.org bis hin zu gnome-look.org und xfce-look.org.
Das Wesentliche des Problems ist das die plattform Pling ermöglicht das Hinzufügen von Multimedia-Blöcken im HTML-Format, um beispielsweise ein YouTube-Video oder -Bild einzufügen. Der über das Formular hinzugefügte Code ist nicht validiert richtig, was? ermöglicht es Ihnen, bösartigen Code unter dem Deckmantel eines Bildes hinzuzufügen und legen Sie Informationen in das Verzeichnis ab, die der JavaScript-Code bei der Anzeige ausführen wird. Wenn die Informationen für Benutzer mit einem Konto geöffnet werden, können im Namen dieses Benutzers Aktionen im Verzeichnis eingeleitet werden, darunter das Hinzufügen eines JavaScript-Aufrufs zu ihren Seiten, das Implementieren einer Art Netzwerkwurm.
Auch, in der PlingStore-Anwendung wurde eine Schwachstelle identifiziert, geschrieben mit der Electron-Plattform und ermöglicht es Ihnen, ohne Browser durch die OpenDesktop-Verzeichnisse zu navigieren und die dort vorgestellten Pakete zu installieren. Durch eine Schwachstelle in PlingStore kann der Code auf dem System des Benutzers ausgeführt werden.
Wenn die PlingStore-Anwendung läuft, wird zusätzlich der ocs-manager-Prozess gestartet, Akzeptieren lokaler Verbindungen über WebSocket und Ausführen von Befehlen wie das Laden und Starten von Anwendungen im AppImage-Format. Die Befehle sollen von der PlingStore-Anwendung übertragen werden, tatsächlich kann jedoch aufgrund der fehlenden Authentifizierung eine Anfrage vom Browser des Benutzers an den ocs-manager gesendet werden. Wenn ein Benutzer eine schädliche Site öffnet, kann er eine Verbindung mit ocs-manager herstellen und den Code auf dem System des Benutzers ausführen lassen.
Eine XSS-Schwachstelle wird auch im Verzeichnis extensions.gnome.org gemeldet; Im Feld mit der URL der Plugin-Startseite können Sie einen JavaScript-Code im Format "javascript: code" angeben und beim Klick auf den Link wird das angegebene JavaScript gestartet, anstatt die Projektseite zu öffnen.
Einerseits das problem ist eher spekulativ, da der Speicherort im Verzeichnis extensions.gnome.org moderiert wird und der Angriff nicht nur das Öffnen einer bestimmten Seite, sondern auch einen expliziten Klick auf den Link erfordert. Auf der anderen Seite möchte der Moderator während der Überprüfung möglicherweise zur Projektwebsite gehen, das Linkformular ignorieren und den JavaScript-Code im Kontext seines Kontos ausführen.
Wenn Sie mehr darüber erfahren möchten, können Sie sich schließlich beraten die Details im folgenden Link.