Një startup nga Berlini ka zbuluar një dobësi të ekzekutimit të kodit në distancë (RCE) dhe një e metë e shkrimit ndër-site (XSS) në Pling, i cili përdoret në katalogë të ndryshëm të aplikacioneve të ndërtuara në këtë platformë dhe që mund të lejojë ekzekutimin e kodit JavaScript në kontekstin e përdoruesve të tjerë. Faqet e prekura janë disa nga katalogët kryesorë të aplikacioneve të programeve falas të tilla si store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com ndër të tjera.
Siguria Pozitive, e cila gjeti vrimat, tha që defektet janë ende të pranishme në kodin Pling dhe se mirëmbajtësit e tij nuk janë përgjigjur raporteve të cenueshmërisë.
Në fillim të këtij viti, ne pamë se si aplikacionet e njohura të desktopit trajtojnë URI-të e furnizuara nga përdoruesit dhe gjetëm dobësi të ekzekutimit të kodit në disa prej tyre. Një nga aplikacionet që kam kontrolluar ishte Dyqani i Zbatimeve të KDE, i cili doli të merret me URI-të e pasigurta në një mënyrë të pasigurt (CVE-2021-28117, Këshillues i Sigurisë i KDE).
Gjatë rrugës, unë shpejt gjeta disa dobësi më serioze në tregjet e tjera të softuerit të lirë.
Një XSS i krimbuar me potencial për sulme të zinxhirit të furnizimit në tregjet e bazuara në Pling dhe një nxitje nga RCE që ndikon në përdoruesit e aplikacioneve PlingStore mund të shfrytëzohet ende.
Pling paraqitet si një treg për krijuesit për të ngarkuar tema dhe grafikë Desktop Linux, ndër të tjera, duke shpresuar të marrë disa fitime nga mbështetësit. Ajo vjen në dy pjesë: kodi i nevojshëm për të drejtuar pazarin e tyre bling dhe një aplikacion të bazuar në Electron që përdoruesit mund të instalojnë për të menaxhuar temat e tyre nga një suvenir Pling. Kodi i internetit ka XSS dhe klienti ka XSS dhe një RCE. Pling fuqizon disa faqe, nga pling.com dhe store.kde.org te gnome-look.org dhe xfce-look.org.
Thelbi i problemit është ajo platformë Pling lejon shtimin e blloqeve multimediale në format HTML, për shembull, për të futur një video ose imazh në YouTube. Kodi i shtuar përmes formularit nuk është i vlefshëm saktë, çfarë ju lejon të shtoni kod të dëmshëm nën maskën e një imazhi dhe vendosni informacion në direktori që kodi JavaScript do të ekzekutojë kur të shikohet. Nëse informacioni do të hapet për përdoruesit që kanë një llogari, atëherë është e mundur të filloni veprime në direktori në emër të këtij përdoruesi, duke përfshirë shtimin e një thirrje JavaScript në faqet e tyre, duke zbatuar një lloj krimbi të rrjetit.
Edhe, një dobësi është identifikuar në aplikacionin PlingStore, e shkruar duke përdorur platformën Electron dhe duke ju lejuar të lundroni nëpër drejtoritë OpenDesktop pa një shfletues dhe të instaloni paketat e paraqitura atje. Një dobësi në PlingStore lejon që kodi i tij të ekzekutohet në sistemin e përdoruesit.
Kur aplikacioni PlingStore po ekzekutohet, procesi i menaxherit të ocs gjithashtu fillon, pranimi i lidhjeve lokale përmes WebSocket dhe ekzekutimin e komandave si ngarkimi dhe nisja e aplikacioneve në formatin AppImage. Komandat supozohet të transmetohen nga aplikacioni PlingStore, por në fakt, për shkak të mungesës së vërtetimit, një kërkesë mund t'i dërgohet menaxherit të ocs nga shfletuesi i përdoruesit. Nëse një përdorues hap një faqe me qëllim të keq, ata mund të fillojnë një lidhje me ocs-menaxherin dhe të kenë kodin të ekzekutuar në sistemin e përdoruesit.
Një dobësi e XSS raportohet gjithashtu në drejtorinë extensions.gnome.org; Në fushën me URL-në e faqes kryesore të shtojcës, mund të specifikoni një kod JavaScript në formatin "javascript: code" dhe kur klikoni në lidhjen, JavaScript i specifikuar do të nisë në vend që të hapë faqen e projektit.
Por un lado, problemi është më spekulativ, pasi që vendndodhja në drejtorinë extensions.gnome.org po moderohet dhe sulmi kërkon jo vetëm hapjen e një faqe të caktuar, por edhe një klikim të qartë në lidhje. Nga ana tjetër, gjatë verifikimit, moderatori mund të dëshirojë të shkojë në faqen e projektit, të injorojë formularin e lidhjes dhe të ekzekutojë kodin JavaScript në kontekstin e llogarisë së tij.
Së fundmi, nëse jeni të interesuar të dini më shumë rreth kësaj, mund të konsultoheni detajet në lidhjen vijuese.