Un startup de la Berlin a dezvăluit o vulnerabilitate la executarea codului la distanță (RCE) și un defect de script între site-uri (XSS) în Pling, care este utilizat în diferite cataloage de aplicații construite pe această platformă și care ar putea permite executarea codului JavaScript în contextul altor utilizatori. Site-urile afectate sunt câteva dintre principalele cataloage de aplicații software gratuite precum store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com printre altele.
Securitatea pozitivă, care a găsit găurile, a spus că erorile sunt încă prezente în codul Pling și că întreținătorii săi nu au răspuns la rapoartele de vulnerabilitate.
La începutul acestui an, ne-am uitat la modul în care aplicațiile desktop populare gestionează URI-urile furnizate de utilizator și am găsit vulnerabilități la executarea codului în mai multe dintre ele. Una dintre aplicațiile pe care le-am verificat a fost Magazinul de aplicații KDE Discover, care s-a dovedit a gestiona nesigur URI-urile într-un mod nesigur (CVE-2021-28117, KDE Security Advisory).
Pe parcurs, am găsit rapid câteva vulnerabilități mai grave pe alte piețe de software liber.
Un XSS wormed cu potențialul de atacuri ale lanțului de aprovizionare pe piețele bazate pe Pling și un drive-by RCE care afectează utilizatorii aplicației PlingStore pot fi încă exploatate.
Pling se prezintă ca o piață pentru reclamele pentru a încărca teme și grafică Desktop Linux, printre altele, sperând să obțină un profit de la suporteri. Se prezintă în două părți: codul necesar pentru a-și rula propriul bazar bling și o aplicație bazată pe Electron pe care utilizatorii o pot instala pentru a-și gestiona temele dintr-un pling. Codul web are XSS, iar clientul are XSS și un RCE. Pling alimentează mai multe site-uri, de la pling.com și store.kde.org la gnome-look.org și xfce-look.org.
Esența problemei este că platforma Pling permite adăugarea de blocuri multimedia în format HTML, de exemplu, pentru a insera un videoclip sau o imagine YouTube. Codul adăugat prin formular nu este validat corect, ce vă permite să adăugați cod rău intenționat sub masca unei imagini și puneți informații în director pe care codul JavaScript le va executa atunci când este vizualizat. Dacă informațiile vor fi deschise utilizatorilor care au un cont, atunci este posibil să inițieze acțiuni în director în numele acestui utilizator, inclusiv adăugarea unui apel JavaScript la paginile lor, implementarea unui fel de vierme de rețea.
De asemenea, a fost identificată o vulnerabilitate în aplicația PlingStore, scris folosind platforma Electron și permițându-vă să navigați prin directoarele OpenDesktop fără browser și să instalați pachetele prezentate acolo. O vulnerabilitate din PlingStore permite ca codul său să ruleze pe sistemul utilizatorului.
Când aplicația PlingStore rulează, procesul ocs-manager este pornit suplimentar, acceptarea conexiunilor locale prin WebSocket și rularea comenzilor precum încărcarea și lansarea aplicațiilor în format AppImage. Comenzile ar trebui transmise de aplicația PlingStore, dar, de fapt, din cauza lipsei de autentificare, o cerere poate fi trimisă către ocs-manager din browserul utilizatorului. Dacă un utilizator deschide un site rău intenționat, poate iniția o conexiune cu ocs-manager și poate rula codul pe sistemul utilizatorului.
O vulnerabilitate XSS este, de asemenea, raportată în directorul extensions.gnome.org; În câmpul cu adresa URL a paginii de pornire a pluginului, puteți specifica un cod JavaScript în formatul "javascript: cod" și când faceți clic pe link, JavaScript-ul specificat va fi lansat în loc să deschideți site-ul proiectului.
Pe de o parte, problema este mai speculativă, deoarece locația din directorul extensions.gnome.org este moderată și atacul necesită nu numai deschiderea unei anumite pagini, ci și un clic explicit pe link. Pe de altă parte, în timpul verificării, moderatorul poate dori să meargă la site-ul proiectului, să ignore formularul de link și să ruleze codul JavaScript în contextul contului său.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile din următorul link.