Uma startup de Berlim revelou uma vulnerabilidade de execução remota de código (RCE) e uma falha de script entre sites (XSS) em Pling, que é usado em vários catálogos de aplicativos construídos nesta plataforma e que pode permitir que o código JavaScript seja executado no contexto de outros usuários. Os sites afetados são alguns dos principais catálogos de aplicativos de software livre como store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com entre outros.
A Positive Security, que encontrou as falhas, disse que os bugs ainda estão presentes no código do Pling e que seus mantenedores não responderam aos relatórios de vulnerabilidade.
No início deste ano, vimos como os aplicativos de desktop populares lidam com URIs fornecidos pelo usuário e encontramos vulnerabilidades de execução de código em vários deles. Um dos aplicativos que verifiquei foi o KDE Discover App Store, que acabou por lidar com URIs não confiáveis de uma forma insegura (CVE-2021-28117, KDE Security Advisory).
Ao longo do caminho, descobri rapidamente várias vulnerabilidades mais sérias em outros mercados de software livre.
Um XSS com worm com potencial para ataques à cadeia de suprimentos em mercados baseados em Pling e um RCE drive-by afetando usuários de aplicativos PlingStore ainda podem ser explorados.
Pling se apresenta como um mercado para criativos para upload de temas e gráficos Desktop Linux, entre outras coisas, na esperança de obter algum lucro de apoiadores. Ele vem em duas partes: o código necessário para executar seu próprio bazar de bling e um aplicativo baseado em Electron que os usuários podem instalar para gerenciar seus temas de um souk de Pling. O código da web possui o XSS e o cliente possui o XSS e um RCE. O Pling está presente em vários sites, de pling.com e store.kde.org a gnome-look.org e xfce-look.org.
A essência do problema essa é a plataforma Pling permite a adição de blocos de multimídia em formato HTML, por exemplo, para inserir um vídeo ou imagem do YouTube. O código adicionado através do formulário não é validado corretamente, o que permite que você adicione código malicioso sob o disfarce de uma imagem e colocar informações no diretório que o código JavaScript executará quando visualizado. Se a informação for aberta para usuários que possuem uma conta, então é possível iniciar ações no diretório em nome deste usuário, incluindo adicionar uma chamada JavaScript às suas páginas, implementando uma espécie de worm de rede.
Também, uma vulnerabilidade foi identificada no aplicativo PlingStore, escrito usando a plataforma Electron e permitindo que você navegue pelos diretórios OpenDesktop sem um navegador e instale os pacotes apresentados lá. Uma vulnerabilidade no PlingStore permite que seu código seja executado no sistema do usuário.
Quando o aplicativo PlingStore está em execução, o processo ocs-manager é iniciado adicionalmente, aceitar conexões locais através do WebSocket e executar comandos como carregar e iniciar aplicativos no formato AppImage. Os comandos devem ser transmitidos pelo aplicativo PlingStore, mas, na verdade, devido à falta de autenticação, uma solicitação pode ser enviada ao ocs-manager a partir do navegador do usuário. Se um usuário abrir um site malicioso, ele pode iniciar uma conexão com o ocs-manager e executar o código no sistema do usuário.
Uma vulnerabilidade XSS também é relatada no diretório extensions.gnome.org; No campo com a URL da página inicial do plugin, você pode especificar um código JavaScript no formato "javascript: código" e ao clicar no link, o JavaScript especificado será iniciado em vez de abrir o site do projeto.
Por um lado, o problema é mais especulativo, uma vez que a localização no diretório extensions.gnome.org está sendo moderada e o ataque requer não apenas a abertura de uma determinada página, mas também um clique explícito no link. Por outro lado, durante a verificação, o moderador pode querer ir ao site do projeto, ignorar o formulário de link e executar o código JavaScript no contexto de sua conta.
Por fim, se você estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.