Descubriron unha vulnerabilidade en Pling que afecta a KDE Store, OpenDesktop, AppImage e outras tendas

Unha startup desde Berlín revelou unha vulnerabilidade na execución de código remoto (RCE) e un fallo de script entre sitios (XSS) en pliegue, que se usa en varios catálogos de aplicacións construídos nesta plataforma e que poderían permitir a execución de código JavaScript no contexto doutros usuarios. Os sitios afectados son algúns dos principais catálogos de aplicacións de software libre como store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com entre outros.

Positive Security, que atopou os buracos, dixo que os erros aínda están presentes no código Pling e que os seus responsables non responderon aos informes de vulnerabilidade.

A principios deste ano analizamos como as aplicacións de escritorio populares manexan os URI subministrados polo usuario e atopamos vulnerabilidades na execución de código en varias delas. Unha das aplicacións que comprobei foi a App Store Discover de KDE, que resultou manexar os URI non fiables dun xeito inseguro (CVE-2021-28117, KDE Security Advisory).

No camiño, atopei rapidamente varias vulnerabilidades máis graves noutros mercados de software libre.

Aínda se pode explotar un XSS wormed con potencial de ataques á cadea de subministración nos mercados baseados en Pling e un RCE drive-by que afecta aos usuarios da aplicación PlingStore.

Pling preséntase como un mercado para os creativos para cargar temas e gráficos O escritorio Linux, entre outras cousas, coa esperanza de obter algún beneficio dos seguidores. Vén en dúas partes: o código necesario para executar o seu propio bazar bling e unha aplicación baseada en Electron que os usuarios poden instalar para xestionar os seus temas desde un zoco Pling. O código web ten o XSS e o cliente ten o XSS e un RCE. Pling alimenta varios sitios, desde pling.com e store.kde.org a gnome-look.org e xfce-look.org.

A esencia do problema é que a plataforma Pling permite engadir bloques multimedia en formato HTML, por exemplo, para inserir un vídeo ou imaxe de YouTube. O código engadido a través do formulario non está validado correctamente, que permítelle engadir código malicioso baixo o disfrace dunha imaxe e coloque información no directorio que o código JavaScript executará cando se vexa. Se a información se abrirá aos usuarios que teñan unha conta, entón é posible iniciar accións no directorio en nome deste usuario, incluíndo engadir unha chamada JavaScript ás súas páxinas, implementando unha especie de verme de rede.

Tamén, identificouse unha vulnerabilidade na aplicación PlingStore, escrito usando a plataforma Electron e permitíndolle navegar polos directorios OpenDesktop sen un navegador e instalar os paquetes alí presentados. Unha vulnerabilidade en PlingStore permite que o seu código se execute no sistema do usuario.

Cando se está executando a aplicación PlingStore, iníciase ademais o proceso ocs-manager, aceptar conexións locais a través de WebSocket e executar comandos como cargar e lanzar aplicacións no formato AppImage. Suponse que os comandos os transmiten a aplicación PlingStore, pero de feito, debido á falta de autenticación, pódese enviar unha solicitude a ocs-manager desde o navegador do usuario. Se un usuario abre un sitio malicioso, pode iniciar unha conexión con ocs-manager e facer executar o código no sistema do usuario.

Tamén se informa dunha vulnerabilidade XSS no directorio extensions.gnome.org; No campo co URL da páxina de inicio do complemento, podes especificar un código JavaScript no formato "javascript: code" e cando fas clic na ligazón, o JavaScript especificado iniciarase en lugar de abrir o sitio do proxecto.

Por unha banda, o problema é máis especulativo, xa que a localización no directorio extensions.gnome.org está a ser moderada e o ataque require non só abrir unha páxina determinada, senón tamén un clic explícito na ligazón. Por outra banda, durante a verificación, o moderador pode querer ir ao sitio do proxecto, ignorar o formulario de ligazón e executar o código JavaScript no contexto da súa conta.

Para rematar, se está interesado en saber máis ao respecto, pode consultalo os detalles na seguinte ligazón.

 


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.