Fuair ​​siad leochaileacht i Pling a théann i bhfeidhm ar KDE Store, OpenDesktop, AppImage agus siopaí eile

Tosaithe ó Bheirlín nocht leochaileacht forghníomhaithe cód iargúlta (RCE) agus locht script tras-láithreáin (XSS) i Pling, a úsáidtear i gcatalóga feidhmchláir éagsúla atá tógtha ar an ardán seo agus a d’fhéadfadh ligean do chód JavaScript a fhorghníomhú i gcomhthéacs úsáideoirí eile. Is iad na suíomhanna lena mbaineann cuid de na príomhchatalóga feidhmchlár bogearraí saor in aisce mar shampla store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com i measc rudaí eile.

Dúirt Positive Security, a d'aimsigh na poill, go bhfuil na fabhtanna fós i gcód Pling agus nár fhreagair a chothaitheoirí na tuairiscí leochaileachta.

Níos luaithe i mbliana, bhreathnaíomar ar an gcaoi a láimhseálann aipeanna deisce tóir URIanna arna soláthar ag úsáideoirí agus fuair muid leochaileachtaí maidir le forghníomhú cód i roinnt acu. Ceann de na feidhmchláir a rinne mé a sheiceáil ba ea an KDE Discover App Store, a d’éirigh le URIanna neamhiontaofa a láimhseáil ar bhealach neamhchinnte (CVE-2021-28117, KDE Security Advisory).

Ar an mbealach, fuair mé go tapa roinnt leochaileachtaí níos tromchúisí i margaí bogearraí saor in aisce eile.

Is féidir fós XSS péisteannaithe a bhfuil an fhéidearthacht ann go ndéanfar ionsaithe ar an slabhra soláthair i margaí Pling-bhunaithe agus RCE tiomáinte ag dul i bhfeidhm ar úsáideoirí feidhmchlár PlingStore.

Cuireann Pling é féin i láthair mar mhargadh do dhaoine cruthaitheacha chun téamaí agus grafaicí a uaslódáil Deasc Linux, i measc rudaí eile, ag súil le brabús éigin a fháil ó lucht tacaíochta. Tá dhá chuid ann: an cód is gá chun a mbazaar bling féin a reáchtáil agus feidhmchlár bunaithe ar Leictreon is féidir le húsáideoirí a shuiteáil chun a dtéamaí a bhainistiú ó souk Pling. Tá an XSS ag an gcód gréasáin agus tá an XSS agus RCE ag an gcliant. Tá cumhacht ag Pling roinnt suíomhanna, ó pling.com agus store.kde.org go gnome-look.org agus xfce-look.org.

É croílár na faidhbe an é sin an t-ardán Ligeann Pling bloic ilmheán a chur leis i bhformáid HTML, mar shampla, físeán nó íomhá YouTube a chur isteach. Ní bhailíochtaítear an cód a chuirtear leis an bhfoirm i gceart, cad ligeann duit cód mailíseach a chur leis faoi scáth íomhá agus cuir faisnéis san eolaire a fhorghníomhóidh an cód JavaScript nuair a bhreathnófar air. Má osclófar an fhaisnéis d’úsáideoirí a bhfuil cuntas acu, is féidir gníomhartha a thionscnamh san eolaire thar ceann an úsáideora seo, lena n-áirítear glao JavaScript a chur ar a leathanaigh, cineál péisteanna líonra a chur i bhfeidhm.

Chomh maith leis sin, tá leochaileacht aitheanta san iarratas PlingStore, scríofa ag úsáid an ardáin Leictreon agus ag ligean duit nascleanúint a dhéanamh trí eolairí OpenDesktop gan brabhsálaí agus na pacáistí a chuirtear i láthair ann a shuiteáil. Ligeann leochaileacht i PlingStore dá chód rith ar chóras an úsáideora.

Nuair a bhíonn feidhmchlár PlingStore ar siúl, cuirtear tús leis an bpróiseas ocs-bhainisteora freisin, glacadh le naisc áitiúla trí WebSocket agus orduithe a fhorghníomhú cosúil le feidhmchláir a luchtú agus a lainseáil i bhformáid AppImage. Ceaptar go ndéanfaidh an feidhmchlár PlingStore na horduithe a tharchur, ach i ndáiríre, mar gheall ar an easpa fíordheimhnithe, is féidir iarratas a sheoladh chuig ocs-bhainisteoir ó bhrabhsálaí an úsáideora. Má osclaíonn úsáideoir suíomh mailíseach, féadfaidh sé nasc a thionscnamh le bainisteoir-ocs agus an cód a rith ar chóras an úsáideora.

Tuairiscítear leochaileacht XSS freisin san eolaire extensions.gnome.org; Sa réimse le URL leathanach baile an bhreiseáin, is féidir leat cód JavaScript a shonrú san fhormáid "javascript: code" agus nuair a chliceálann tú an nasc, seolfar an JavaScript sonraithe in ionad láithreán an tionscadail a oscailt.

Ar thaobh amháin, tá an fhadhb níos amhantraí, ós rud é go bhfuil an suíomh san eolaire extensions.gnome.org á mhodhnú agus ní amháin go n-osclaítear leathanach áirithe a oscailt, ach cliceáil follasach ar an nasc freisin. Ar an láimh eile, le linn an fhíoraithe, b’fhéidir go mbeidh an modhnóir ag iarraidh dul chuig láithreán an tionscadail, neamhaird a dhéanamh den fhoirm nasc, agus an cód JavaScript a rith i gcomhthéacs a chuntais.

Mar fhocal scoir, má tá suim agat níos mó a fháil amach faoi, is féidir leat dul i gcomhairle na sonraí sa nasc seo a leanas.

 


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.