En start från Berlin har avslöjat en sårbarhet för fjärrkörning av kod (RCE) och ett XSS-fel (cross-site script) i Pling, som används i olika applikationskataloger byggda på denna plattform och som kan tillåta att JavaScript-kod körs i samband med andra användare. De drabbade webbplatserna är några av de viktigaste gratiskatalogerna för programvara såsom store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com bland andra.
Positiv säkerhet, som hittade hålen, sa att buggarna fortfarande finns i Pling-koden och att dess underhållare inte har svarat på sårbarhetsrapporterna.
Tidigare i år tittade vi på hur populära skrivbordsappar hanterar användarlevererade URI: er och hittade koden för körning av kod i flera av dem. En av de appar jag kollade var KDE Discover App Store, som visade sig hantera opålitliga URI på ett osäkert sätt (CVE-2021-28117, KDE Security Advisory).
På vägen hittade jag snabbt flera allvarligare sårbarheter på andra marknader för fri programvara.
En avmaskad XSS med potential för leveranskedjeattacker på Pling-baserade marknader och en drive-by RCE som påverkar PlingStore-applikationsanvändare kan fortfarande utnyttjas.
Pling presenterar sig som en marknadsplats för annonsmaterial för att ladda upp teman och grafik Linux-skrivbord, bland annat i hopp om att få lite vinst från supportrar. Den finns i två delar: koden som behövs för att köra sin egen blingbasar och ett elektronbaserat program som användare kan installera för att hantera sina teman från en Pling-souk. Webbkoden har XSS och klienten har XSS och en RCE. Pling driver flera webbplatser, från pling.com och store.kde.org till gnome-look.org och xfce-look.org.
Kärnan i problemet är det plattformen Pling möjliggör tillägg av multimediablock i HTML-format, till exempel för att infoga en YouTube-video eller bild. Koden som läggs till via formuläret valideras inte rätt, vad låter dig lägga till skadlig kod under sken av en bild och lägg information i katalogen som JavaScript-koden kommer att köras när den visas. Om informationen kommer att öppnas för användare som har ett konto är det möjligt att initiera åtgärder i katalogen för den här användarens räkning, inklusive att lägga till ett JavaScript-samtal på deras sidor och implementera en slags nätverksmask.
Också, har en sårbarhet identifierats i PlingStore-applikationen, skriven med hjälp av Electron-plattformen och låter dig navigera genom OpenDesktop-katalogerna utan en webbläsare och installera de paket som presenteras där. En sårbarhet i PlingStore gör att dess kod kan köras på användarens system.
När PlingStore-applikationen körs startas ocs-manager-processen dessutom, acceptera lokala anslutningar via WebSocket och kör kommandon som att ladda och starta applikationer i AppImage-format. Kommandona ska överföras av PlingStore-applikationen, men på grund av brist på autentisering kan en begäran skickas till ocs-manager från användarens webbläsare. Om en användare öppnar en skadlig webbplats kan de initiera en anslutning med ocs-manager och få koden att köras på användarens system.
En XSS-sårbarhet rapporteras också i katalogen extensions.gnome.org; I fältet med webbadressen till plugin-startsidan kan du ange en JavaScript-kod i formatet "javascript: code" och när du klickar på länken startas den angivna JavaScript istället för att öppna projektwebbplatsen.
Å ena sidan, problemet är mer spekulativteftersom platsen i katalogen extensions.gnome.org modereras och attacken inte bara kräver att en viss sida öppnas utan också ett uttryckligt klick på länken. Å andra sidan, under verifieringen, kanske moderatorn vill gå till projektwebbplatsen, ignorera länkformuläret och köra JavaScript-koden i sitt kontos sammanhang.
Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljerna i följande länk.