En oppstart fra Berlin har avslørt et sårbarhet for ekstern kjøring av kode (RCE) og en feil på tvers av nettstedet (XSS) i Pling, som brukes i forskjellige programkataloger bygget på denne plattformen, og som kan tillate at JavaScript-kode utføres i sammenheng med andre brukere. De berørte nettstedene er noen av de viktigste gratis programvarekatalogene slik som store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com blant andre.
Positiv sikkerhet, som fant hullene, sa at feilene fremdeles er til stede i Pling-koden, og at vedlikeholdere ikke har svart på sårbarhetsrapportene.
Tidligere i år så vi på hvordan populære stasjonære apper håndterer brukerleverte URI-er og fant sårbarheter i kodeutførelse i flere av dem. En av appene jeg sjekket var KDE Discover App Store, som viste seg å håndtere upålitelige URI-er på en usikker måte (CVE-2021-28117, KDE Security Advisory).
Underveis fant jeg raskt flere alvorlige sårbarheter i andre gratis programvaremarkeder.
En ormet XSS med potensial for angrep i forsyningskjeden i Pling-baserte markeder og en drive-by RCE som påvirker brukere av PlingStore-applikasjonen kan fortsatt utnyttes.
Pling presenterer seg som en markedsplass for reklamer for å laste opp temaer og grafikk Linux desktop, blant annet i håp om å få noe overskudd fra støttespillere. Den kommer i to deler: koden som trengs for å kjøre sin egen blingbasar og et elektronbasert program som brukerne kan installere for å administrere temaene sine fra en Pling-souk. Nettkoden har XSS og klienten har XSS og en RCE. Pling driver flere nettsteder, fra pling.com og store.kde.org til gnome-look.org og xfce-look.org.
Essensen av problemet er det plattformen Pling tillater tillegg av multimedia blokker i HTML-format, for eksempel å sette inn en YouTube-video eller et bilde. Koden som er lagt til via skjemaet, er ikke validert riktig, hva lar deg legge til ondsinnet kode under dekke av et bilde og legg informasjon i katalogen som JavaScript-koden vil kjøre når den vises. Hvis informasjonen vil bli åpnet for brukere som har en konto, er det mulig å sette i gang handlinger i katalogen på vegne av denne brukeren, inkludert å legge til et JavaScript-anrop på sidene deres, og implementere en slags nettverksorm.
Også, det er identifisert en sårbarhet i PlingStore-applikasjonen, skrevet ved hjelp av Electron-plattformen og lar deg navigere gjennom OpenDesktop-katalogene uten nettleser og installere pakkene som presenteres der. Et sårbarhet i PlingStore lar koden kjøre på brukerens system.
Når PlingStore-applikasjonen kjører, starter ocs-manager prosessen i tillegg, godta lokale forbindelser via WebSocket og kjører kommandoer som å laste inn og starte applikasjoner i AppImage-format. Kommandoene skal overføres av PlingStore-applikasjonen, men på grunn av manglende godkjenning kan en forespørsel sendes til ocs-manager fra brukerens nettleser. Hvis en bruker åpner et ondsinnet nettsted, kan de starte en forbindelse med ocs-manager og få koden kjørt på brukerens system.
Det er også rapportert om et XSS-sårbarhet i katalogen extensions.gnome.org; I feltet med URL-adressen til plugin-hjemmesiden kan du spesifisere en JavaScript-kode i formatet "javascript: code", og når du klikker på lenken, vil den spesifiserte JavaScript bli lansert i stedet for å åpne prosjektstedet.
På den ene siden, problemet er mer spekulativt, siden plasseringen i katalogen extensions.gnome.org modereres og angrepet krever ikke bare å åpne en bestemt side, men også et eksplisitt klikk på lenken. På den annen side, under verifisering, vil moderatoren kanskje gå til prosjektnettstedet, ignorere koblingsskjemaet og kjøre JavaScript-koden i sammenheng med kontoen sin.
Til slutt, hvis du er interessert i å vite mer om det, kan du konsultere detaljene i følgende lenke.