Startup Berliinistä on paljastanut koodin etäsuorittamisen haavoittuvuuden (RCE) ja sivustojen välisen komentosarjan (XSS) virhe Plingissä, jota käytetään useissa tälle alustalle rakennetuissa sovelluskatalogeissa ja joka voi sallia JavaScript-koodin suorittamisen muiden käyttäjien yhteydessä. Kyseiset sivustot ovat joitain tärkeimpiä ilmaisten ohjelmistosovellusten luetteloita kuten Store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
Aukot löytänyt Positive Security kertoi, että virheitä on edelleen Pling-koodissa ja että ylläpitäjät eivät ole vastanneet haavoittuvuusraportteihin.
Aiemmin tänä vuonna tarkastelimme, kuinka suositut työpöytäsovellukset käsittelevät käyttäjien toimittamia URI-tunnuksia, ja löysimme useista niistä koodin suorittamisen haavoittuvuuksia. Yksi tarkistamistani sovelluksista oli KDE Discover App Store, joka osoittautui käsittelevän epäluotettavia URI-tiedostoja epävarmalla tavalla (CVE-2021-28117, KDE Security Advisory).
Matkan varrella löysin nopeasti useita vakavampia haavoittuvuuksia muilta vapaiden ohjelmistojen markkinoilta.
Wormed XSS, jolla on mahdollisuuksia toimitusketjuhyökkäyksiin Pling-pohjaisilla markkinoilla, ja PlingStore-sovellusten käyttäjiin vaikuttava ajaminen RCE: tä voidaan silti hyödyntää.
Pling esittelee olevansa markkinapaikka mainosten lataamiseen teemoja ja grafiikkaa Linux-työpöytä muun muassa toivoen saavansa voittoa kannattajilta. Se tulee kahteen osaan: koodi, jota tarvitaan oman bling-basaarin ja Electron-pohjaisen sovelluksen suorittamiseen, jonka käyttäjät voivat asentaa hallitsemaan teemojaan Pling-soukista. Verkkokoodissa on XSS ja asiakkaalla on XSS ja RCE. Pling toimii useilla sivustoilla pling.comista ja store.kde.org gnome-look.org ja xfce-look.org.
Ongelman ydin onko se foorumi Pling sallii multimediaelementtien lisäämisen HTML-muodossa, esimerkiksi lisätäksesi YouTube-videon tai kuvan. Lomakkeen kautta lisättyä koodia ei ole vahvistettu oikein, mitä voit lisätä haitallisen koodin kuvan varjolla ja laita hakemistoon tiedot, jotka JavaScript-koodi suorittaa, kun niitä tarkastellaan. Jos tiedot avataan käyttäjille, joilla on tili, on mahdollista aloittaa toiminnot hakemistossa tämän käyttäjän puolesta, mukaan lukien lisätä Java-kutsu heidän sivuilleen ja toteuttaa eräänlainen verkkomato.
Myös, PlingStore-sovelluksessa on havaittu haavoittuvuus, kirjoitettu käyttämällä Electron-alustaa ja jonka avulla voit selata OpenDesktop-hakemistoja ilman selainta ja asentaa siellä esitetyt paketit. PlingStore-sivuston haavoittuvuus antaa koodin toimia käyttäjän järjestelmässä.
Kun PlingStore-sovellus on käynnissä, ocs-manager-prosessi käynnistetään lisäksi, paikallisten yhteyksien hyväksyminen WebSocketin kautta ja komentojen suorittaminen, kuten sovellusten lataaminen ja käynnistäminen AppImage-muodossa. Komentojen oletetaan siirtävän PlingStore-sovellus, mutta todentamisen puuttumisen vuoksi pyyntö voidaan lähettää ocs-managerille käyttäjän selaimesta. Jos käyttäjä avaa haitallisen sivuston, hän voi muodostaa yhteyden ocs-manageriin ja antaa koodin suorittaa käyttäjän järjestelmässä.
XSS-haavoittuvuudesta ilmoitetaan myös hakemistossa extensions.gnome.org; Laajennuksen kotisivun URL-osoitetta sisältävässä kentässä voit määrittää JavaScript-koodin muodossa "javascript: code", ja kun napsautat linkkiä, määritetty JavaScript käynnistetään projektisivuston avaamisen sijaan.
Yhtäältä ongelma on spekulatiivisempi, koska sijaintia extensions.gnome.org-hakemistossa valvotaan ja hyökkäys vaatii paitsi tietyn sivun avaamisen myös nimenomaisen napsautuksen linkille. Toisaalta valvoja saattaa haluta mennä projektin sivustolle, ohittaa linkkilomakkeen ja suorittaa JavaScript-koodin tilinsä yhteydessä.
Lopuksi, jos haluat tietää enemmän siitä, voit ottaa yhteyttä yksityiskohdat seuraavassa linkissä.