Zagon iz Berlina je odkril ranljivost oddaljenega izvajanja kode (RCE) in napaka skripta na več mestih (XSS) v Plingu, ki se uporablja v različnih katalogih aplikacij, zgrajenih na tej platformi, in ki bi lahko omogočil izvajanje kode JavaScript v kontekstu drugih uporabnikov. Prizadeta spletna mesta so nekateri glavni katalogi aplikacij za brezplačno programsko opremo kot so store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com med drugim.
Pozitivna varnost, ki je našla luknje, je dejala, da so napake še vedno prisotne v kodi Pling in da se njeni vzdrževalci niso odzvali na poročila o ranljivosti.
V začetku letošnjega leta smo preučili, kako priljubljene namizne aplikacije obravnavajo uporabniške URI-je, in v več od njih našli ranljivosti pri izvajanju kode. Ena od aplikacij, ki sem jo preveril, je bila KDE Discover App Store, za katero se je izkazalo, da nezaupanja vredne URI-je obdeluje na varen način (CVE-2021-28117, KDE Security Advisory).
Na tej poti sem hitro našel več resnejših ranljivosti na drugih trgih proste programske opreme.
Črvi XSS z možnostjo napadov na dobavne verige na trgih, ki temeljijo na Plingu, in RCE, ki vpliva na uporabnike aplikacije PlingStore, je še vedno mogoče izkoristiti.
Pling se predstavlja kot trg za kreativce za nalaganje tem in grafik Namizje Linux med drugim v upanju, da bo od podpornikov dobilo nekaj dobička. Na voljo je v dveh delih: kodo, potrebno za vodenje lastnega bling bazarja, in elektronsko aplikacijo, ki jo lahko uporabniki namestijo za upravljanje svojih tem iz Pling souka. Spletna koda ima XSS, odjemalec pa XSS in RCE. Pling upravlja več spletnih mest, od pling.com in store.kde.org do gnome-look.org in xfce-look.org.
Bistvo problema je to platforma Pling omogoča dodajanje večpredstavnostnih blokov v obliki HTML, na primer, da vstavite videoposnetek ali sliko v YouTubu. Koda, dodana prek obrazca, ni potrjena pravilno, kaj omogoča dodajanje zlonamerne kode pod krinko slike in v imenik vnesite informacije, ki jih bo koda JavaScript izvedla ob ogledu. Če bodo informacije odprte uporabnikom, ki imajo račun, potem lahko v imenu tega uporabnika sprožite dejanja v imeniku, vključno z dodajanjem klica JavaScript na njihove strani, ki izvaja nekakšen omrežni črv.
Tudi, je bila v aplikaciji PlingStore ugotovljena ranljivost, napisano s pomočjo platforme Electron in vam omogoča brskanje po imenikih OpenDesktop brez brskalnika in nameščanje tam predstavljenih paketov. Ranljivost v PlingStore omogoča, da se njena koda izvaja v uporabnikovem sistemu.
Ko se izvaja aplikacija PlingStore, se dodatno zažene postopek ocs-manager, sprejemanje lokalnih povezav prek WebSocket in izvajanje ukazov, kot sta nalaganje in zagon aplikacij v obliki AppImage. Ukaze naj bi prenašala aplikacija PlingStore, dejansko pa lahko zaradi pomanjkanja preverjanja pristnosti iz brskalnika uporabnika pošljete zahtevo oks-managerju. Če uporabnik odpre zlonamerno spletno mesto, lahko vzpostavi povezavo z ocs-manager in zažene kodo v uporabnikovem sistemu.
O ranljivosti XSS poroča tudi v imeniku extensions.gnome.org; V polju z URL-jem domače strani vtičnika lahko določite kodo JavaScript v obliki "javascript: code" in ko kliknete povezavo, se namesto odpiranja mesta projekta zažene navedeni JavaScript.
Po eni strani težava je bolj špekulativna, saj se lokacija v imeniku extensions.gnome.org moderira in napad zahteva ne le odpiranje določene strani, temveč tudi izrecni klik na povezavo. Po drugi strani pa bo moderator med preverjanjem želel obiskati spletno mesto projekta, prezreti obrazec za povezavo in zagnati kodo JavaScript v okviru svojega računa.
Nazadnje, če vas zanima več o tem, se lahko posvetujete podrobnosti na naslednji povezavi.