Una startup di Berlino ha rivelato una vulnerabilità legata all'esecuzione di codice in modalità remota (RCE) e un difetto di script cross-site (XSS) a Pling, che viene utilizzato in vari cataloghi di applicazioni costruiti su questa piattaforma e che potrebbe consentire l'esecuzione del codice JavaScript nel contesto di altri utenti. I siti interessati sono alcuni dei principali cataloghi di applicazioni software gratuite come store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com tra gli altri.
Positive Security, che ha trovato i buchi, ha affermato che i bug sono ancora presenti nel codice Pling e che i suoi manutentori non hanno risposto alle segnalazioni di vulnerabilità.
All'inizio di quest'anno, abbiamo esaminato il modo in cui le app desktop più diffuse gestiscono gli URI forniti dagli utenti e abbiamo trovato vulnerabilità di esecuzione del codice in molte di esse. Una delle app che ho controllato era l'App Store di KDE Discover, che si è rivelato gestire URI non attendibili in modo non sicuro (CVE-2021-28117, KDE Security Advisory).
Lungo la strada, ho trovato rapidamente molte vulnerabilità più serie in altri mercati del software libero.
È ancora possibile sfruttare un XSS wormato con il potenziale per attacchi alla catena di approvvigionamento nei mercati basati su Pling e un RCE drive-by che colpisce gli utenti dell'applicazione PlingStore.
Pling si presenta come un marketplace per i creativi per caricare temi e grafica Desktop Linux, tra l'altro, sperando di ottenere qualche profitto dai sostenitori. È disponibile in due parti: il codice necessario per eseguire il proprio bazar bling e un'applicazione basata su Electron che gli utenti possono installare per gestire i propri temi da un suk Pling. Il codice web ha l'XSS e il client ha l'XSS e un RCE. Pling è alla base di diversi siti, da pling.com e store.kde.org a gnome-look.org e xfce-look.org.
L'essenza del problema è quella la piattaforma? Pling consente l'aggiunta di blocchi multimediali in formato HTML, ad esempio, per inserire un video o un'immagine di YouTube. Il codice aggiunto tramite il form non è convalidato correttamente, cosa? ti consente di aggiungere codice dannoso sotto le spoglie di un'immagine e inserisci le informazioni nella directory che il codice JavaScript eseguirà quando verrà visualizzato. Se le informazioni verranno aperte agli utenti che hanno un account, allora è possibile avviare azioni nella directory per conto di questo utente, inclusa l'aggiunta di una chiamata JavaScript alle loro pagine, implementando una sorta di worm di rete.
Anche, è stata identificata una vulnerabilità nell'applicazione PlingStore, scritto utilizzando la piattaforma Electron e che consente di navigare nelle directory di OpenDesktop senza un browser e installare i pacchetti ivi presentati. Una vulnerabilità in PlingStore consente l'esecuzione del codice sul sistema dell'utente.
Quando l'applicazione PlingStore è in esecuzione, viene avviato anche il processo ocs-manager, accettare connessioni locali tramite WebSocket ed eseguire comandi come il caricamento e l'avvio di applicazioni nel formato AppImage. I comandi dovrebbero essere trasmessi dall'applicazione PlingStore, ma in realtà, a causa della mancanza di autenticazione, è possibile inviare una richiesta a ocs-manager dal browser dell'utente. Se un utente apre un sito dannoso, può avviare una connessione con ocs-manager e far eseguire il codice sul sistema dell'utente.
Viene inoltre segnalata una vulnerabilità XSS nella directory extensions.gnome.org; Nel campo con l'URL della home page del plugin, puoi specificare un codice JavaScript nel formato "javascript: codice" e quando fai clic sul collegamento, verrà lanciato il JavaScript specificato invece di aprire il sito del progetto.
Da un lato, il problema è più speculativo, poiché la posizione nella directory extensions.gnome.org è in fase di moderazione e l'attacco richiede non solo l'apertura di una determinata pagina, ma anche un clic esplicito sul collegamento. D'altra parte, durante la verifica, il moderatore potrebbe voler andare al sito del progetto, ignorare il modulo di collegamento ed eseguire il codice JavaScript nel contesto del proprio account.
Infine, se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link.