Een startup uit Berlijn heeft een kwetsbaarheid voor het uitvoeren van externe code onthuld (RCE) en een cross-site script (XSS) fout in Pling, die wordt gebruikt in verschillende applicatiecatalogi die op dit platform zijn gebouwd en waarmee JavaScript-code kan worden uitgevoerd in de context van andere gebruikers. De getroffen sites zijn enkele van de belangrijkste catalogi van gratis softwareapplicaties zoals store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org en pling.com.
Positive Security, dat de gaten vond, zei dat de bugs nog steeds aanwezig zijn in de Pling-code en dat de beheerders niet hebben gereageerd op de kwetsbaarheidsrapporten.
Eerder dit jaar hebben we gekeken naar hoe populaire desktop-apps omgaan met door gebruikers geleverde URI's en hebben we in verschillende ervan kwetsbaarheden gevonden bij het uitvoeren van code. Een van de apps die ik controleerde was de KDE Discover App Store, die niet-vertrouwde URI's op een onveilige manier bleek te verwerken (CVE-2021-28117, KDE Security Advisory).
Onderweg ontdekte ik al snel een aantal ernstigere kwetsbaarheden in andere vrije softwaremarkten.
Een ontwormde XSS met het potentieel voor supply chain-aanvallen in op Pling gebaseerde markten en een drive-by RCE die gebruikers van de PlingStore-applicatie treft, kan nog steeds worden misbruikt.
Pling presenteert zichzelf als een marktplaats voor creatievelingen om thema's en afbeeldingen te uploaden Linux-desktop, onder andere, in de hoop wat winst te maken van supporters. Het komt in twee delen: de code die nodig is om hun eigen bling-bazaar te draaien en een op Electron gebaseerde applicatie die gebruikers kunnen installeren om hun thema's te beheren vanuit een Pling-souk. De webcode heeft de XSS en de klant heeft de XSS en een RCE. Pling stuurt verschillende sites aan, van pling.com en store.kde.org tot gnome-look.org en xfce-look.org.
De essentie van het probleem is dat het platform? Pling maakt de toevoeging van multimediablokken in HTML-formaat mogelijk, bijvoorbeeld om een YouTube-video of -afbeelding in te voegen. De code die via het formulier is toegevoegd, is niet gevalideerd correct, wat? stelt u in staat om kwaadaardige code toe te voegen onder het mom van een afbeelding en plaats informatie in de map die de JavaScript-code zal uitvoeren wanneer deze wordt bekeken. Als de informatie wordt geopend voor gebruikers met een account, is het mogelijk om namens deze gebruiker acties in de directory te starten, inclusief het toevoegen van een JavaScript-aanroep aan hun pagina's, waarbij een soort netwerkworm wordt geïmplementeerd.
Ook, er is een kwetsbaarheid vastgesteld in de PlingStore-applicatie, geschreven met behulp van het Electron-platform en waarmee u zonder browser door de OpenDesktop-mappen kunt navigeren en de daar gepresenteerde pakketten kunt installeren. Door een kwetsbaarheid in PlingStore kan de code op het systeem van de gebruiker worden uitgevoerd.
Wanneer de PlingStore-toepassing wordt uitgevoerd, wordt bovendien het proces ocs-manager gestart, accepteren van lokale verbindingen via WebSocket en het uitvoeren van opdrachten zoals het laden en starten van applicaties in het AppImage-formaat. De commando's zouden worden verzonden door de PlingStore-toepassing, maar in feite kan door het ontbreken van authenticatie een verzoek worden verzonden naar ocs-manager vanuit de browser van de gebruiker. Als een gebruiker een kwaadaardige site opent, kan hij een verbinding tot stand brengen met ocs-manager en de code laten draaien op het systeem van de gebruiker.
Een XSS-kwetsbaarheid wordt ook gerapporteerd in de directory extensions.gnome.org; In het veld met de URL van de startpagina van de plug-in kunt u een JavaScript-code opgeven in het formaat "javascript: code" en wanneer u op de link klikt, wordt het opgegeven JavaScript gestart in plaats van de projectsite te openen.
Enerzijds het probleem is meer speculatief, aangezien de locatie in de directory extensions.gnome.org wordt gemodereerd en de aanval niet alleen het openen van een bepaalde pagina vereist, maar ook een expliciete klik op de link. Aan de andere kant kan de moderator tijdens de verificatie naar de projectsite gaan, het linkformulier negeren en de JavaScript-code uitvoeren in de context van zijn account.
Als u er tenslotte meer over wilt weten, kunt u contact opnemen met de details in de volgende link.