베를린의 스타트 업 원격 코드 실행 취약점이 발견되었습니다. (RCE) 및 XSS (교차 사이트 스크립트) 결함 Pling에서 이 플랫폼에 구축 된 다양한 애플리케이션 카탈로그에서 사용되며 다른 사용자의 컨텍스트에서 JavaScript 코드를 실행할 수 있습니다. 영향을받는 사이트는 주요 무료 소프트웨어 응용 프로그램 카탈로그 중 일부입니다. store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com 등이 있습니다.
취약점을 발견 한 Positive Security는 버그가 여전히 Pling 코드에 존재하며 유지 관리자가 취약점 보고서에 응답하지 않았다고 말했습니다.
올해 초, 우리는 인기있는 데스크톱 앱이 사용자 제공 URI를 처리하는 방법을 살펴보고 그 중 일부에서 코드 실행 취약점을 발견했습니다. 내가 확인한 앱 중 하나는 신뢰할 수없는 URI를 안전하지 않은 방식으로 처리하는 것으로 밝혀진 KDE Discover App Store였습니다 (CVE-2021-28117, KDE 보안 권고).
그 과정에서 나는 다른 자유 소프트웨어 시장에서 몇 가지 더 심각한 취약점을 빠르게 발견했습니다.
Pling 기반 시장에서 공급망 공격 가능성이있는 웜된 XSS와 PlingStore 애플리케이션 사용자에게 영향을 미치는 드라이브 바이 RCE는 여전히 악용 될 수 있습니다.
Pling은 창작자들이 테마와 그래픽을 업로드 할 수있는 마켓 플레이스입니다. 무엇보다도 Linux 데스크톱은 지지자들로부터 이익을 얻기를 희망합니다. 두 부분으로 나뉩니다. 사용자가 Pling souk에서 테마를 관리하기 위해 설치할 수있는 Electron 기반 애플리케이션과 자신의 bling bazaar를 실행하는 데 필요한 코드입니다. 웹 코드에는 XSS가 있고 클라이언트에는 XSS와 RCE가 있습니다. Pling은 pling.com 및 store.kde.org에서 gnome-look.org 및 xfce-look.org에 이르기까지 여러 사이트를 지원합니다.
문제의 본질 그 플랫폼입니다 Pling을 사용하면 HTML 형식으로 멀티미디어 블록을 추가 할 수 있습니다. 예를 들어 YouTube 비디오 또는 이미지를 삽입합니다. 양식을 통해 추가 된 코드가 확인되지 않았습니다. 올바르게, 무엇 이미지를 가장하여 악성 코드를 추가 할 수 있습니다. 그리고 JavaScript 코드를 볼 때 실행할 정보를 디렉토리에 넣습니다. 계정이있는 사용자에게 정보가 공개되면 페이지에 JavaScript 호출을 추가하고 일종의 네트워크 웜을 구현하는 등이 사용자를 대신하여 디렉토리에서 작업을 시작할 수 있습니다.
또한, PlingStore 애플리케이션에서 취약점이 확인되었습니다. Electron 플랫폼을 사용하여 작성되었으며 브라우저없이 OpenDesktop 디렉토리를 탐색하고 여기에 제시된 패키지를 설치할 수 있습니다. PlingStore의 취약점으로 인해 코드가 사용자 시스템에서 실행될 수 있습니다.
PlingStore 애플리케이션이 실행 중일 때 ocs-manager 프로세스가 추가로 시작됩니다. WebSocket을 통해 로컬 연결 허용 AppImage 형식으로 애플리케이션로드 및 실행과 같은 명령 실행. 명령은 PlingStore 애플리케이션에 의해 전송되어야하지만 실제로는 인증 부족으로 인해 사용자의 브라우저에서 ocs-manager로 요청을 보낼 수 있습니다. 사용자가 악성 사이트를 열면 ocs-manager와 연결을 시작하고 코드가 사용자 시스템에서 실행되도록 할 수 있습니다.
XSS 취약점은 extensions.gnome.org 디렉토리에서도보고됩니다. 플러그인 홈페이지의 URL이있는 필드에서 "javascript : code"형식으로 JavaScript 코드를 지정할 수 있으며 링크를 클릭하면 프로젝트 사이트를 열지 않고 지정된 JavaScript가 실행됩니다.
한편, 문제는 더 추측 적이다, extensions.gnome.org 디렉토리의 위치가 조정되고 있으며 공격을하려면 특정 페이지를 열뿐만 아니라 링크를 명시 적으로 클릭해야합니다. 반면, 검증 과정에서 중재자는 프로젝트 사이트로 이동하여 링크 양식을 무시하고 계정 컨텍스트에서 JavaScript 코드를 실행할 수 있습니다.
마지막으로 그것에 대해 더 알고 싶다면 다음 링크의 세부 사항.