Стартуп из Берлина је открио рањивост извршења даљинског кода (РЦЕ) и недостатак скрипте на више локација (КССС) у Плингу, који се користи у разним каталозима апликација изграђеним на овој платформи и који би могао да омогући извршавање ЈаваСцрипт кода у контексту других корисника. Погођене локације су неки од главних каталога апликација за бесплатни софтвер као што су сторе.кде.орг, аппимагехуб.цом, гноме-лоок.орг, кфце-лоок.орг, плинг.цом, између осталог.
Позитивна безбедност, која је пронашла рупе, рекла је да су грешке и даље присутне у Плинг коду и да њени одржавачи нису одговорили на извештаје о рањивости.
Раније ове године смо погледали како популарне апликације за рачунаре рукују УРИ-јем које су испоручили корисници и пронашли рањивости у извршењу кода у неколико њих. Једна од апликација коју сам проверио је КДЕ Дисцовер Апп Сторе, за коју се испоставило да несигурним УРИ-има рукује (ЦВЕ-2021-28117, КДЕ безбедносно упозорење).
Успут сам брзо пронашао неколико озбиљнијих рањивости на другим тржиштима слободног софтвера.
Црв КССС с потенцијалом за нападе у ланцу снабдевања на тржиштима заснованим на Плингу и дриве-би РЦЕ који утичу на кориснике апликација ПлингСторе и даље се могу искористити.
Плинг се представља као тржиште креативаца за постављање тема и графика Линук радна површина, између осталог, у нади да ће добити неку зараду од присталица. Долази из два дела: код потребан за покретање сопственог блинг базара и апликације засноване на Елецтрон-у коју корисници могу да инсталирају за управљање својим темама из Плинг соука. Веб код има КССС, а клијент КССС и РЦЕ. Плинг покреће неколико веб локација, од плинг.цом и сторе.кде.орг до гноме-лоок.орг и кфце-лоок.орг.
Суштина проблема да ли је то платформа Плинг омогућава додавање мултимедијалних блокова у ХТМЛ формату, на пример, за уметање ИоуТубе видеа или слике. Код додат путем обрасца није потврђен тачно, шта омогућава вам додавање злонамерног кода под маском слике и у директоријум ставите информације које ће ЈаваСцрипт код извршити приликом гледања. Ако ће се информације отворити корисницима који имају налог, тада је могуће у име овог корисника покренути радње у директоријуму, укључујући додавање ЈаваСцрипт позива на њихове странице, имплементирајући неку врсту мрежног црва.
Такође, откривена је рањивост у апликацији ПлингСторе, написано помоћу платформе Елецтрон и омогућава вам кретање кроз директоријуме ОпенДесктоп без прегледача и инсталирање тамо представљених пакета. Рањивост у ПлингСторе-у омогућава да се његов код извршава на корисниковом систему.
Када је покренута апликација ПлингСторе, додатно се покреће поступак оцс-манагер, прихватање локалних веза путем ВебСоцкет-а и извршавање наредби попут учитавања и покретања апликација у АппИмаге формату. Команде би требало да преноси апликација ПлингСторе, али у ствари, због недостатка потврде идентитета, захтев се може послати на оцс-манагер из корисничког прегледача. Ако корисник отвори злонамерну веб локацију, може да успостави везу са оцс-манагером и да покрене код на корисниковом систему.
Такође се извештава о КССС рањивости у директоријуму ектенсионс.гноме.орг; У пољу са УРЛ-ом почетне странице додатка можете да наведете ЈаваСцрипт код у формату „јавасцрипт: цоде“ и када кликнете на везу, наведени ЈаваСцрипт ће се покренути уместо да се отвори локација пројекта.
С једне стране, проблем је спекулативнији, с обзиром да се локација у директоријуму ектенсионс.гноме.орг модерира, а напад захтева не само отварање одређене странице, већ и експлицитни клик на везу. С друге стране, током верификације, модератор ће можда желети да оде на локацију пројекта, занемари образац везе и покрене ЈаваСцрипт код у контексту свог налога.
Коначно, ако сте заинтересовани да сазнате више о томе, можете се посаветовати детаље у следећем линку.