Startup z Berlina ujawnił lukę umożliwiającą zdalne wykonanie kodu code (RCE) i błąd cross-site script (XSS) w Plingu, który jest używany w różnych katalogach aplikacji zbudowanych na tej platformie i który może pozwolić na wykonanie kodu JavaScript w kontekście innych użytkowników. Witryny, których dotyczy problem, to niektóre z głównych katalogów bezpłatnych aplikacji takich jak store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.
Firma Positive Security, która znalazła luki, stwierdziła, że błędy są nadal obecne w kodzie Pling i że jego opiekunowie nie odpowiedzieli na zgłoszenia luki w zabezpieczeniach.
Na początku tego roku przyjrzeliśmy się, jak popularne aplikacje komputerowe obsługują identyfikatory URI dostarczone przez użytkowników i znaleźliśmy w kilku z nich luki w wykonywaniu kodu. Jedną z aplikacji, które sprawdziłem, był KDE Discover App Store, który okazał się obsługiwać niezaufane URI w niepewny sposób (CVE-2021-28117, KDE Security Advisory).
Po drodze szybko znalazłem kilka poważniejszych luk na innych rynkach wolnego oprogramowania.
Robak XSS z potencjałem do ataków łańcucha dostaw na rynkach opartych na Pling oraz drive-by RCE, który ma wpływ na użytkowników aplikacji PlingStore, może nadal być wykorzystywany.
Pling prezentuje się jako rynek, na którym twórcy mogą przesyłać motywy i grafiki Między innymi desktop Linuksa, mając nadzieję na zyskanie od zwolenników tego systemu. Składa się z dwóch części: kod potrzebny do uruchomienia własnego bazaru blingów i aplikacji opartej na elektronie, którą użytkownicy mogą zainstalować, aby zarządzać swoimi motywami z suku Pling. Kod sieciowy ma XSS, a klient ma XSS i RCE. Pling obsługuje kilka witryn, od pling.com i store.kde.org po gnome-look.org i xfce-look.org.
Istota problemu czy platforma Pling umożliwia dodawanie bloków multimedialnych w formacie HTML, na przykład, aby wstawić film lub obraz z YouTube. Kod dodany przez formularz nie jest walidowany poprawnie, co? pozwala dodać złośliwy kod pod przykrywką obrazka i umieść w katalogu informacje, które kod JavaScript wykona podczas przeglądania. Jeżeli informacje będą otwierane dla użytkowników posiadających konto, to w imieniu tego użytkownika możliwe jest zainicjowanie akcji w katalogu, w tym dodanie wywołania JavaScript do ich stron, implementując swego rodzaju robaka sieciowego.
Również, zidentyfikowano podatność w aplikacji PlingStore, napisany przy użyciu platformy Electron i pozwalający na poruszanie się po katalogach OpenDesktop bez przeglądarki i instalowanie prezentowanych tam pakietów. Luka w PlingStore umożliwia uruchomienie jego kodu w systemie użytkownika.
Gdy aplikacja PlingStore jest uruchomiona dodatkowo uruchamiany jest proces ocs-manager, akceptowanie połączeń lokalnych przez WebSocket i wykonywanie poleceń, takich jak ładowanie i uruchamianie aplikacji w formacie AppImage. Polecenia mają być przesyłane przez aplikację PlingStore, ale tak naprawdę z powodu braku uwierzytelnienia można wysłać żądanie do ocs-managera z przeglądarki użytkownika. Jeśli użytkownik otworzy złośliwą witrynę, może zainicjować połączenie z menedżerem ocs i uruchomić kod w systemie użytkownika.
Luka XSS jest również zgłaszana w katalogu extensions.gnome.org; W polu z adresem URL strony głównej wtyczki możesz podać kod JavaScript w formacie „javascript: kod”, a po kliknięciu w link, zamiast otwierania strony projektu zostanie uruchomiony określony JavaScript.
Z jednej strony problem jest bardziej spekulacyjny, ponieważ lokalizacja w katalogu extensions.gnome.org jest moderowana, a atak wymaga nie tylko otwarcia określonej strony, ale także wyraźnego kliknięcia w link. Z drugiej strony, podczas weryfikacji moderator może chcieć wejść na stronę projektu, zignorować formularz linku i uruchomić kod JavaScript w kontekście swojego konta.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz skonsultować się szczegóły w poniższym linku.