Jaunuzņēmums no Berlīnes ir atklājusi attālu koda izpildes ievainojamību (RCE) un vairāku vietņu skripta (XSS) kļūda Plingā, kas tiek izmantots dažādos lietojumprogrammu katalogos, kas izveidoti šajā platformā un kas varētu ļaut JavaScript kodu izpildīt citu lietotāju kontekstā. Ietekmētās vietnes ir daži no galvenajiem bezmaksas programmatūras lietojumprogrammu katalogiem piemēram, store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
Pozitīvā drošība, kas atklāja nepilnības, sacīja, ka kļūdas joprojām ir Pling kodā un ka tā uzturētāji nav atbildējuši uz ziņojumiem par ievainojamību.
Šī gada sākumā mēs apskatījām, kā populāras darbvirsmas lietotnes apstrādā lietotāju piedāvātus URI, un vairākās no tām konstatējām koda izpildes ievainojamības. Viena no pārbaudītajām lietotnēm bija KDE Discover App Store, kas izrādījās nedroši apstrādāts ar neuzticamiem URI (CVE-2021-28117, KDE drošības padoms).
Pa ceļam es ātri atradu vairākas nopietnākas ievainojamības citos brīvās programmatūras tirgos.
Joprojām var izmantot tārpotu XSS ar piegādes ķēdes uzbrukumu potenciālu Pling balstītos tirgos un RCE, kas ietekmē PlingStore lietojumprogrammu lietotājus.
Pling sevi parāda kā tirgu reklāmām, lai augšupielādētu tēmas un grafikas Linux darbvirsma, cita starpā, cerot iegūt zināmu peļņu no atbalstītājiem. Tas nāk divās daļās: kods, kas nepieciešams, lai palaistu savu bling bazāru un uz Electron balstītu lietojumprogrammu, kuru lietotāji var instalēt, lai pārvaldītu savas tēmas no Pling souk. Tīmekļa kodam ir XSS, klientam - XSS un RCE. Pling nodrošina vairākas vietnes, sākot no pling.com un store.kde.org, beidzot ar gnome-look.org un xfce-look.org.
Problēmas būtība ir tā platforma Pling ļauj pievienot multivides blokus HTML formātā, piemēram, lai ievietotu YouTube videoklipu vai attēlu. Caur veidlapu pievienotais kods nav apstiprināts pareizi, ko ļauj attēla aizsegā pievienot ļaunprātīgu kodu un direktorijā ievietojiet informāciju, kuru JavaScript kods izpildīs, kad to skatīs. Ja informācija tiks atvērta lietotājiem, kuriem ir konts, direktorijā šī lietotāja vārdā ir iespējams uzsākt darbības, tostarp viņu lapām pievienot JavaScript zvanu, ieviešot sava veida tīkla tārpu.
Arī, lietojumprogrammā PlingStore ir konstatēta ievainojamība, rakstīts, izmantojot platformu Electron un ļaujot pārlūkot OpenDesktop direktorijus bez pārlūkprogrammas un instalēt tur uzrādītās paketes. PlingStore ievainojamība ļauj tā kodam darboties lietotāja sistēmā.
Kad darbojas PlingStore lietojumprogramma, papildus tiek startēts ocs-manager process, vietējo savienojumu pieņemšana, izmantojot WebSocket un komandu izpilde, piemēram, lietojumprogrammu ielāde un palaišana AppImage formātā. Paredzams, ka komandas pārraida PlingStore lietojumprogramma, taču patiesībā autentifikācijas trūkuma dēļ pieprasījumu var nosūtīt ocs-manager no lietotāja pārlūkprogrammas. Ja lietotājs atver ļaunprātīgu vietni, viņš var izveidot savienojumu ar ocs-manager un palaist kodu lietotāja sistēmā.
Par XSS ievainojamību ziņo arī direktorijā extensions.gnome.org; Laukā ar spraudņa sākumlapas URL varat norādīt JavaScript kodu formātā "javascript: code", un, noklikšķinot uz saites, tiks palaists norādītais JavaScript, nevis tiks atvērta projekta vietne.
No vienas puses, problēma ir spekulatīvāka, jo atrašanās vieta direktorijā extensions.gnome.org tiek moderēta un uzbrukumam nepieciešams ne tikai atvērt noteiktu lapu, bet arī skaidri noklikšķināt uz saites. No otras puses, verifikācijas laikā moderators var vēlēties doties uz projekta vietni, ignorēt saites veidlapu un palaist JavaScript kodu sava konta kontekstā.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat konsultēties sīkāku informāciju šajā saitē.