ベルリンのスタートアップ リモートコード実行の脆弱性が明らかになりました (RCE)およびクロスサイトスクリプト(XSS)の欠陥 Plingで、 これは、このプラットフォーム上に構築されたさまざまなアプリケーションカタログで使用され、他のユーザーのコンテキストでJavaScriptコードを実行できるようにする可能性があります。 影響を受けるサイトは、主要な無料ソフトウェアアプリケーションカタログの一部です。 store.kde.org、appimagehub.com、gnome-look.org、xfce-look.org、pling.comなど。
穴を見つけたPositiveSecurityは、バグはPlingコードにまだ存在しており、そのメンテナは脆弱性レポートに応答していないと述べました。
今年の初めに、人気のあるデスクトップアプリがユーザー指定のURIをどのように処理するかを調べ、それらのいくつかにコード実行の脆弱性を発見しました。 私がチェックしたアプリの2021つはKDEDiscover App Storeで、信頼できないURIを安全でない方法で処理することが判明しました(CVE-28117-XNUMX、KDEセキュリティアドバイザリ)。
その過程で、他の自由ソフトウェア市場にさらに深刻な脆弱性がいくつか見つかりました。
Plingベースの市場でサプライチェーン攻撃の可能性があるワームXSSと、PlingStoreアプリケーションユーザーに影響を与えるドライブバイRCEは、引き続き悪用される可能性があります。
Plingは、クリエイティブがテーマやグラフィックをアップロードするためのマーケットプレイスとしての地位を確立しています。 Linuxデスクトップは、とりわけ、サポーターからいくらかの利益を得ることを望んでいます。 それはXNUMXつの部分に分かれています: 独自のブリンブリンバザールと、ユーザーがPlingsoukからテーマを管理するためにインストールできるElectronベースのアプリケーションを実行するために必要なコード。 WebコードにはXSSがあり、クライアントにはXSSとRCEがあります。 Plingは、pling.comやstore.kde.orgからgnome-look.orgやxfce-look.orgまで、いくつかのサイトを強化しています。
問題の本質 それはプラットフォームです Plingを使用すると、HTML形式でマルチメディアブロックを追加できます。 たとえば、YouTubeのビデオや画像を挿入します。 フォームから追加されたコードは検証されません 正しく、何 画像を装って悪意のあるコードを追加することができます そして、JavaScriptコードが表示されたときに実行されるディレクトリに情報を配置します。 アカウントを持っているユーザーに情報が公開される場合、ページへのJavaScript呼び出しの追加、一種のネットワークワームの実装など、このユーザーに代わってディレクトリでアクションを開始することができます。
また、PlingStoreアプリケーションに脆弱性が確認されました。 Electronプラットフォームを使用して記述されており、ブラウザなしでOpenDesktopディレクトリをナビゲートし、そこに表示されるパッケージをインストールできます。 PlingStoreの脆弱性により、そのコードがユーザーのシステムで実行される可能性があります。
PlingStoreアプリケーションが実行されている場合、ocs-managerプロセスが追加で開始されます。 WebSocketを介したローカル接続の受け入れ AppImage形式でのアプリケーションのロードや起動などのコマンドの実行。 コマンドはPlingStoreアプリケーションによって送信されることになっていますが、実際には、認証がないため、ユーザーのブラウザーからocs-managerに要求を送信できます。 ユーザーが悪意のあるサイトを開くと、ocs-managerとの接続を開始し、ユーザーのシステムでコードを実行することができます。
XSSの脆弱性はextensions.gnome.orgディレクトリでも報告されています。 プラグインホームページのURLのフィールドで、JavaScriptコードを「javascript:code」の形式で指定できます。リンクをクリックすると、プロジェクトサイトを開く代わりに、指定したJavaScriptが起動します。
一方では、 問題はより投機的です、extensions.gnome.orgディレクトリ内の場所がモデレートされており、攻撃には特定のページを開くだけでなく、リンクを明示的にクリックする必要があるためです。 一方、検証中、モデレーターはプロジェクトサイトにアクセスし、リンクフォームを無視して、アカウントのコンテキストでJavaScriptコードを実行することをお勧めします。
最後に、それについてもっと知りたい場合は、相談することができます 詳細は次のリンクにあります。