KDE Store, OpenDesktop, AppImage eta bestelako dendetan eragina duen ahultasuna aurkitu zuten Pling-en

Berlingo startup bat urruneko kodearen exekuzio ahultasuna agerian utzi du (RCE) eta cross-site script (XSS) akatsa Pling-en, plataforma honetan eraikitako hainbat aplikazio katalogoetan erabiltzen dena eta JavaScript kodea beste erabiltzaile batzuen testuinguruan exekutatzea baimendu dezakeena. Kaltetutako guneak software libreko aplikazioen katalogo nagusietako batzuk dira besteak beste, store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.

Zuloak aurkitu zituen Segurtasun Positiboak esan zuen akatsak Pling kodean daudela oraindik eta bertako arduradunek ez dutela ahultasun txostenetara erantzun.

Urte hasieran, mahaigaineko aplikazio ezagunek erabiltzaileek hornitutako URIak nola kudeatzen dituzten eta horietako zenbaitetan kode exekuzio ahultasunak aurkitu zituzten aztertu genuen. Egiaztatu nuen aplikazioetako bat KDE Discover App Store izan zen, konfiantzazko URIak modu seguru batean kudeatzen dituena (CVE-2021-28117, KDE Segurtasun Aholkularitza).

Bidean, azkar aurkitu ditut hainbat ahultasun larriagoak software librearen beste merkatu batzuetan.

Pling oinarritutako merkatuetan hornikuntza-kateko erasoak egiteko aukera duen XSS zizare bat eta PlingStore aplikazioaren erabiltzaileei eragiten dien RCE gidatua oraindik ere balia daitezke.

Pling-ek gaiak eta grafikoak kargatzeko sormenentzako merkatu gisa aurkezten du bere burua Linux mahaigaina, besteak beste, laguntzaileen etekinen bat lortzeko asmoz. Bi zati ditu: beren bling bazarra eta Electron oinarritutako aplikazio bat exekutatzeko beharrezkoa den kodea erabiltzaileek instalatu dezakete beren gaiak Pling zoko batetik kudeatzeko. Web kodeak XSS du eta bezeroak XSS eta RCE ditu. Pling-ek hainbat gune ditu, pling.com eta store.kde.org -tik gnome-look.org eta xfce-look.org-era.

Arazoaren funtsa plataforma hori da Pling-ek HTML formatuan multimedia blokeak gehitzea ahalbidetzen du. adibidez, YouTube bideo edo irudi bat txertatzeko. Inprimakiaren bidez gehitutako kodea ez dago balioztatuta zuzen, zer irudi baten mozorropean kode maltzurra gehitzeko aukera ematen du eta sartu JavaScript kodeak ikustean exekutatuko duen direktorioan. Informazioa kontua duten erabiltzaileei irekiko bazaie, posible da direktorioan ekintzak egitea erabiltzaile honen izenean, besteak beste, JavaScript orrialde bat gehitzea haien orrietan, sareko harra moduko bat ezarriz.

Era berean,, ahultasun bat identifikatu da PlingStore aplikazioan, Electron plataforma erabiliz idatzi eta OpenDesktop direktorioetan nabigatzailerik gabe nabigatzeko eta bertan aurkezten diren paketeak instalatzeko aukera ematen du. PlingStore-ren ahultasunak bere kodea erabiltzailearen sisteman exekutatzea ahalbidetzen du.

PlingStore aplikazioa martxan dagoenean, ocs-manager prozesua abiarazten da gainera, WebSocket bidez konexio lokalak onartzea eta aplikazioak kargatu eta abiaraztea bezalako komandoak aplikatzea AppImage formatuan. Komandoak PlingStore aplikazioak igorriko dituela uste da, baina, egia esan, autentifikaziorik ez dagoenez, eskaera bat bidali daiteke ocs-manager-era erabiltzailearen arakatzailetik. Erabiltzaile batek gune maltzurra irekitzen badu, ocs-manager-ekin konexioa has dezake eta kodea erabiltzailearen sisteman exekutatu daiteke.

XSS zaurgarritasunaren berri ere ematen da extensions.gnome.org direktorioan; Pluginaren hasierako orriaren URLa duen eremuan, JavaScript kodea "Javascript: code" formatuan zehaztu dezakezu eta estekan klik egitean, zehaztutako JavaScript proiektua ireki beharrean abiaraziko da.

Alde batetik, arazoa espekulatiboagoa da, extensions.gnome.org direktorioko kokapena moderatzen ari denez eta erasoak orrialde jakin bat irekitzeaz gain, estekan klik esplizitu bat egitea eskatzen duelako. Bestalde, egiaztapenean, moderatzaileak proiektuaren gunera joan nahi du, esteka inprimakiari jaramonik egin gabe eta JavaScript kodea exekutatu nahi du bere kontuaren testuinguruan.

Azkenean, horri buruz gehiago jakiteko interesa baduzu, kontsultatu dezakezu xehetasunak ondoko estekan.

 


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.