Permulaan dari Berlin telah mendedahkan kelemahan pelaksanaan kod jauh (RCE) dan cacat rentas laman web (XSS) di Pling, yang digunakan dalam berbagai katalog aplikasi yang dibangun di platform ini dan yang memungkinkan kod JavaScript dijalankan dalam konteks pengguna lain. Laman web yang terjejas adalah beberapa katalog aplikasi perisian percuma utama seperti store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com antara lain.
Keselamatan Positif, yang menemukan lubang, mengatakan bahawa bug masih ada dalam kod Pling dan penyelenggara belum memberi respons terhadap laporan kerentanan.
Awal tahun ini, kami melihat bagaimana aplikasi desktop yang popular menangani URI yang dibekalkan pengguna dan mendapati kelemahan pelaksanaan kod di beberapa di antaranya. Salah satu aplikasi yang saya periksa adalah KDE Discover App Store, yang ternyata menangani URI yang tidak dipercaya dengan cara yang tidak selamat (CVE-2021-28117, KDE Security Advisory).
Sepanjang perjalanan, saya dengan cepat menemui beberapa kelemahan yang lebih serius di pasaran perisian percuma yang lain.
XSS cacing yang berpotensi untuk serangan rantaian bekalan di pasar yang berpusat di Pling dan pemacu oleh RCE yang mempengaruhi pengguna aplikasi PlingStore masih dapat dieksploitasi.
Pling menghadirkan diri sebagai pasaran untuk kreatif memuat naik tema dan grafik Desktop Linux, antara lain, berharap dapat memperoleh keuntungan daripada penyokong. Ia terdapat dalam dua bahagian: kod yang diperlukan untuk menjalankan bling bazaar mereka sendiri dan aplikasi berasaskan Elektron yang boleh dipasang oleh pengguna untuk menguruskan tema mereka dari pling souk. Kod web mempunyai XSS dan pelanggan mempunyai XSS dan RCE. Pling memberi kuasa kepada beberapa laman web, dari pling.com dan store.kde.org hingga gnome-look.org dan xfce-look.org.
Intipati masalah adakah platform itu Pling membolehkan penambahan blok multimedia dalam format HTML, sebagai contoh, untuk memasukkan video atau gambar YouTube. Kod yang ditambahkan melalui borang tidak disahkan betul, apa membolehkan anda menambahkan kod jahat di bawah kedok gambar dan masukkan maklumat ke dalam direktori yang akan dilaksanakan oleh kod JavaScript ketika dilihat. Sekiranya maklumat tersebut akan dibuka untuk pengguna yang memiliki akun, maka adalah mungkin untuk memulai tindakan dalam direktori atas nama pengguna ini, termasuk menambahkan panggilan JavaScript ke halaman mereka, menerapkan semacam worm rangkaian.
Juga, kerentanan telah dikenal pasti dalam aplikasi PlingStore, ditulis menggunakan platform Electron dan membolehkan anda menavigasi direktori OpenDesktop tanpa penyemak imbas dan memasang pakej yang disajikan di sana. Kerentanan di PlingStore membolehkan kodnya berjalan pada sistem pengguna.
Semasa aplikasi PlingStore berjalan, proses pengurus ocs juga dimulakan, menerima sambungan tempatan melalui WebSocket dan menjalankan perintah seperti memuat dan melancarkan aplikasi dalam format AppImage. Perintah tersebut seharusnya dikirimkan oleh aplikasi PlingStore, tetapi sebenarnya, karena kurangnya pengesahan, permintaan dapat dikirimkan ke ocs-manager dari penyemak imbas pengguna. Sekiranya pengguna membuka laman web yang berniat jahat, mereka dapat memulakan hubungan dengan pengurus ocs dan menjalankan kod pada sistem pengguna.
Kerentanan XSS juga dilaporkan dalam direktori extensions.gnome.org; Di lapangan dengan URL halaman utama plugin, anda dapat menentukan kod JavaScript dalam format "javascript: code" dan apabila anda mengklik pautan tersebut, JavaScript yang ditentukan akan dilancarkan dan bukannya membuka laman projek.
Dalam satu tangan, masalahnya lebih spekulatif, kerana lokasi di direktori extensions.gnome.org sedang dimoderasi dan serangan tidak hanya memerlukan membuka halaman tertentu, tetapi juga klik eksplisit pada pautan. Sebaliknya, semasa pengesahan, moderator mungkin ingin pergi ke laman web projek, mengabaikan borang pautan, dan menjalankan kod JavaScript dalam konteks akaun mereka.
Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh berunding perinciannya di pautan berikut.