Odkryli lukę w Pling, która wpływa na KDE Store, OpenDesktop, AppImage i inne sklepy

Startup z Berlina ujawnił lukę umożliwiającą zdalne wykonanie kodu code (RCE) i błąd cross-site script (XSS) w Plingu, który jest używany w różnych katalogach aplikacji zbudowanych na tej platformie i który może pozwolić na wykonanie kodu JavaScript w kontekście innych użytkowników. Witryny, których dotyczy problem, to niektóre z głównych katalogów bezpłatnych aplikacji takich jak store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com.

Firma Positive Security, która znalazła luki, stwierdziła, że ​​błędy są nadal obecne w kodzie Pling i że jego opiekunowie nie odpowiedzieli na zgłoszenia luki w zabezpieczeniach.

Na początku tego roku przyjrzeliśmy się, jak popularne aplikacje komputerowe obsługują identyfikatory URI dostarczone przez użytkowników i znaleźliśmy w kilku z nich luki w wykonywaniu kodu. Jedną z aplikacji, które sprawdziłem, był KDE Discover App Store, który okazał się obsługiwać niezaufane URI w niepewny sposób (CVE-2021-28117, KDE Security Advisory).

Po drodze szybko znalazłem kilka poważniejszych luk na innych rynkach wolnego oprogramowania.

Robak XSS z potencjałem do ataków łańcucha dostaw na rynkach opartych na Pling oraz drive-by RCE, który ma wpływ na użytkowników aplikacji PlingStore, może nadal być wykorzystywany.

Pling prezentuje się jako rynek, na którym twórcy mogą przesyłać motywy i grafiki Między innymi desktop Linuksa, mając nadzieję na zyskanie od zwolenników tego systemu. Składa się z dwóch części: kod potrzebny do uruchomienia własnego bazaru blingów i aplikacji opartej na elektronie, którą użytkownicy mogą zainstalować, aby zarządzać swoimi motywami z suku Pling. Kod sieciowy ma XSS, a klient ma XSS i RCE. Pling obsługuje kilka witryn, od pling.com i store.kde.org po gnome-look.org i xfce-look.org.

Istota problemu czy platforma Pling umożliwia dodawanie bloków multimedialnych w formacie HTML, na przykład, aby wstawić film lub obraz z YouTube. Kod dodany przez formularz nie jest walidowany poprawnie, co? pozwala dodać złośliwy kod pod przykrywką obrazka i umieść w katalogu informacje, które kod JavaScript wykona podczas przeglądania. Jeżeli informacje będą otwierane dla użytkowników posiadających konto, to w imieniu tego użytkownika możliwe jest zainicjowanie akcji w katalogu, w tym dodanie wywołania JavaScript do ich stron, implementując swego rodzaju robaka sieciowego.

Również, zidentyfikowano podatność w aplikacji PlingStore, napisany przy użyciu platformy Electron i pozwalający na poruszanie się po katalogach OpenDesktop bez przeglądarki i instalowanie prezentowanych tam pakietów. Luka w PlingStore umożliwia uruchomienie jego kodu w systemie użytkownika.

Gdy aplikacja PlingStore jest uruchomiona dodatkowo uruchamiany jest proces ocs-manager, akceptowanie połączeń lokalnych przez WebSocket i wykonywanie poleceń, takich jak ładowanie i uruchamianie aplikacji w formacie AppImage. Polecenia mają być przesyłane przez aplikację PlingStore, ale tak naprawdę z powodu braku uwierzytelnienia można wysłać żądanie do ocs-managera z przeglądarki użytkownika. Jeśli użytkownik otworzy złośliwą witrynę, może zainicjować połączenie z menedżerem ocs i uruchomić kod w systemie użytkownika.

Luka XSS jest również zgłaszana w katalogu extensions.gnome.org; W polu z adresem URL strony głównej wtyczki możesz podać kod JavaScript w formacie „javascript: kod”, a po kliknięciu w link, zamiast otwierania strony projektu zostanie uruchomiony określony JavaScript.

Z jednej strony problem jest bardziej spekulacyjny, ponieważ lokalizacja w katalogu extensions.gnome.org jest moderowana, a atak wymaga nie tylko otwarcia określonej strony, ale także wyraźnego kliknięcia w link. Z drugiej strony, podczas weryfikacji moderator może chcieć wejść na stronę projektu, zignorować formularz linku i uruchomić kod JavaScript w kontekście swojego konta.

Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz skonsultować się szczegóły w poniższym linku.

 


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.