Egy startup Berlinből távoli kódfuttatással kapcsolatos biztonsági rést tárt fel (RCE) és egy webhelyek közötti parancsfájl (XSS) hiba Plingben, amelyet ezen a platformon felépített különféle alkalmazáskatalógusokban használnak, és amelyek lehetővé tehetik a JavaScript kód futtatását más felhasználók kontextusában. Az érintett webhelyek a legfontosabb ingyenes szoftveralkalmazások mint például a store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
A lyukakat megtaláló Positive Security szerint a hibák továbbra is jelen vannak a Pling-kódban, és karbantartói nem válaszoltak a sérülékenységi jelentésekre.
Ez év elején megvizsgáltuk, hogy a népszerű asztali alkalmazások hogyan kezelik a felhasználók által szolgáltatott URI-kat, és közülük többben kódfuttatási sebezhetőségeket találtunk. Az egyik általam ellenőrzött alkalmazás a KDE Discover App Store volt, amelyről kiderült, hogy a nem megbízható URI-kat bizonytalanul kezeli (CVE-2021-28117, KDE biztonsági tanácsadó).
Útközben gyorsan számos komolyabb sebezhetőséget találtam más szabad szoftverpiacokon.
Továbbra is kihasználható egy olyan féregtelen XSS, amely ellátási lánc támadásokkal járhat a Pling-alapú piacokon, és a PlingStore alkalmazás felhasználóit érintő hajtott RCE.
A Pling piacként jelenik meg a kreatívok számára témák és grafikák feltöltésére A Linux asztal többek között abban a reményben, hogy némi hasznot hoz a támogatóktól. Két részből áll: a saját bling bazár és egy Electron alapú alkalmazás futtatásához szükséges kód, amelyet a felhasználók telepíthetnek a témáik kezelésére egy Pling Soukból. A webkód tartalmazza az XSS-t, az ügyfél pedig az XSS-t és egy RCE-t. A Pling számos webhelyet működtet, a pling.com-tól és a store.kde.org-tól a gnome-look.org-ig és az xfce-look.org-ig.
A probléma lényege az a platform A Pling lehetővé teszi multimédia blokkok hozzáadását HTML formátumban, például YouTube-videó vagy kép beszúrásához. Az űrlapon keresztül hozzáadott kód nem érvényesült helyesen, mi lehetővé teszi rosszindulatú kód hozzáadását egy kép leple alatt és tegye a könyvtárba az információkat, amelyeket a JavaScript-kód futtat majd megtekintéskor. Ha az információkat olyan felhasználók számára nyitják meg, akiknek van fiókjuk, akkor lehetőség van a felhasználó nevében a könyvtárban műveletek kezdeményezésére, beleértve egy JavaScript-hívás hozzáadását az oldalukra, egyfajta hálózati féreg megvalósítását.
Is, egy biztonsági rést azonosítottak a PlingStore alkalmazásban, az Electron platform segítségével írva, lehetővé téve az OpenDesktop könyvtárak közötti böngészés nélküli böngészést és az ott bemutatott csomagok telepítését. A PlingStore biztonsági rése lehetővé teszi, hogy kódja a felhasználó rendszerén fusson.
Amikor a PlingStore alkalmazás fut, az ocs-manager folyamat elindul, helyi kapcsolatok elfogadása a WebSocket segítségével és parancsok végrehajtása, például alkalmazások betöltése és indítása AppImage formátumban. A parancsokat állítólag a PlingStore alkalmazás továbbítja, de valójában a hitelesítés hiánya miatt a felhasználó böngészőjéből kérést lehet küldeni az ocs-manager-nek. Ha egy felhasználó rosszindulatú webhelyet nyit meg, akkor kapcsolatot kezdeményezhet az ocs-managerrel, és a kódot a felhasználó rendszerén futtathatja.
Az XSS sebezhetőségről a extensions.gnome.org könyvtárban is beszámolnak; A bővítmény kezdőlapjának URL-jével rendelkező mezőben megadhat egy JavaScript kódot a "javascript: code" formátumban, és amikor a linkre kattint, a megadott JavaScript elindul a projekt webhelyének megnyitása helyett.
Egyrészt a probléma inkább spekulatív, mivel az extensions.gnome.org könyvtárban lévő hely moderálása folyamatban van, és a támadáshoz nemcsak egy bizonyos oldal megnyitása, hanem a linkre történő kifejezett kattintás is szükséges. Másrészt az ellenőrzés során a moderátornak el kell mennie a projekt webhelyére, figyelmen kívül kell hagynia a hivatkozási űrlapot, és futtatnia kell a JavaScript-kódot a fiókjával összefüggésben.
Végül, ha érdekel, hogy többet tudjon meg róla, konzultálhat a részleteket a következő linken.