Startup dari Berlin telah mengungkapkan kerentanan eksekusi kode jarak jauh (RCE) dan skrip lintas situs (XSS) cacat di Pling, yang digunakan dalam berbagai katalog aplikasi yang dibangun di platform ini dan yang memungkinkan kode JavaScript dieksekusi dalam konteks pengguna lain. Situs yang terpengaruh adalah beberapa katalog aplikasi perangkat lunak gratis utama seperti store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com antara lain.
Positif Keamanan, yang menemukan lubang, mengatakan bahwa bug masih ada dalam kode Pling dan pengelolanya belum menanggapi laporan kerentanan.
Awal tahun ini, kami melihat bagaimana aplikasi desktop populer menangani URI yang disediakan pengguna dan menemukan kerentanan eksekusi kode di beberapa di antaranya. Salah satu aplikasi yang saya periksa adalah KDE Discover App Store, yang ternyata menangani URI yang tidak tepercaya dengan cara yang tidak aman (CVE-2021-28117, KDE Security Advisory).
Sepanjang jalan, saya dengan cepat menemukan beberapa kerentanan yang lebih serius di pasar perangkat lunak bebas lainnya.
XSS worm dengan potensi serangan rantai pasokan di pasar berbasis Pling dan RCE drive-by yang memengaruhi pengguna aplikasi PlingStore masih dapat dieksploitasi.
Pling menampilkan dirinya sebagai pasar bagi materi iklan untuk mengunggah tema dan grafik Desktop Linux, antara lain, berharap mendapat untung dari pendukungnya. Itu datang dalam dua bagian: kode yang dibutuhkan untuk menjalankan bazaar bling mereka sendiri dan aplikasi berbasis Electron yang dapat diinstal pengguna untuk mengelola tema mereka dari Pling souk. Kode web memiliki XSS dan klien memiliki XSS dan RCE. Pling memberdayakan beberapa situs, dari pling.com dan store.kde.org hingga gnome-look.org dan xfce-look.org.
Inti dari masalahnya apakah itu platformnya? Pling memungkinkan penambahan blok multimedia dalam format HTML, misalnya, untuk menyisipkan video atau gambar YouTube. Kode yang ditambahkan melalui formulir tidak divalidasi benar, apa memungkinkan Anda untuk menambahkan kode berbahaya dengan kedok gambar dan letakkan informasi di direktori yang akan dieksekusi oleh kode JavaScript saat dilihat. Jika informasi akan dibuka untuk pengguna yang memiliki akun, maka dimungkinkan untuk memulai tindakan di direktori atas nama pengguna ini, termasuk menambahkan panggilan JavaScript ke halaman mereka, menerapkan semacam worm jaringan.
Juga, kerentanan telah diidentifikasi dalam aplikasi PlingStore, ditulis menggunakan platform Electron dan memungkinkan Anda untuk menavigasi melalui direktori OpenDesktop tanpa browser dan menginstal paket yang disajikan di sana. Kerentanan di PlingStore memungkinkan kodenya berjalan di sistem pengguna.
Saat aplikasi PlingStore berjalan, proses ocs-manager juga dimulai, menerima koneksi lokal melalui WebSocket dan menjalankan perintah seperti memuat dan meluncurkan aplikasi dalam format AppImage. Perintah seharusnya dikirimkan oleh aplikasi PlingStore, tetapi pada kenyataannya, karena kurangnya otentikasi, permintaan dapat dikirim ke ocs-manager dari browser pengguna. Jika pengguna membuka situs berbahaya, mereka dapat memulai koneksi dengan ocs-manager dan menjalankan kode di sistem pengguna.
Kerentanan XSS juga dilaporkan di direktori extensions.gnome.org; Di bidang dengan URL halaman beranda plugin, Anda dapat menentukan kode JavaScript dalam format "javascript: kode" dan ketika Anda mengklik tautan, JavaScript yang ditentukan akan diluncurkan alih-alih membuka situs proyek.
Di satu sisi, masalahnya lebih spekulatif, karena lokasi di direktori extensions.gnome.org sedang dimoderasi dan serangan tidak hanya membutuhkan pembukaan halaman tertentu, tetapi juga klik eksplisit pada tautan. Di sisi lain, selama verifikasi, moderator mungkin ingin pergi ke situs proyek, mengabaikan formulir tautan, dan menjalankan kode JavaScript dalam konteks akun mereka.
Terakhir, jika Anda tertarik untuk mengetahuinya lebih jauh, Anda bisa berkonsultasi detailnya di tautan berikut.