Isang startup mula sa Berlin ay nagsiwalat ng isang kahinaan sa pagpapatupad ng remote code (RCE) at isang depekto ng cross-site script (XSS) sa Pling, na ginagamit sa iba't ibang mga application katalogo na binuo sa platform na ito at kung saan maaaring payagan ang JavaScript code na maipatupad sa konteksto ng iba pang mga gumagamit. Ang mga apektadong site ay ilan sa mga pangunahing katalogo ng aplikasyon ng libreng software tulad ng store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com bukod sa iba pa.
Ang Positive Security, na natagpuan ang mga butas, ay nagsabi na ang mga bug ay naroroon pa rin sa Pling code at ang mga nagpapanatili nito ay hindi tumugon sa mga ulat sa kahinaan.
Mas maaga sa taong ito, tiningnan namin kung gaano kasikat ang mga desktop app na humahawak sa mga URI na ibinigay ng gumagamit at natagpuan ang mga kahinaan sa pagpapatupad ng code sa ilan sa mga ito. Ang isa sa mga app na aking nasuri ay ang KDE Discover App Store, na naging pangasiwaan ang mga hindi pinagkakatiwalaang URI sa isang walang katiyakan na paraan (CVE-2021-28117, KDE Security Advisory).
Sa daan, mabilis akong nakakita ng maraming mas seryosong kahinaan sa iba pang mga libreng software market.
Ang isang wormed XSS na may potensyal para sa pag-atake ng supply chain sa mga merkado na nakabatay sa Pling at isang drive-by RCE na nakakaapekto sa mga gumagamit ng application ng PlingStore ay maaari pa ring pagsamantalahan.
Ipinapakita ng Pling mismo bilang isang pamilihan para sa mga creative na mag-upload ng mga tema at graphics Ang Linux desktop, bukod sa iba pang mga bagay, umaasa na makakuha ng kaunting kita mula sa mga tagasuporta. Dumating ito sa dalawang bahagi: ang kinakailangang code upang magpatakbo ng kanilang sariling bling bazaar at isang application na nakabatay sa Electron na maaaring mai-install ng mga gumagamit upang pamahalaan ang kanilang mga tema mula sa isang souk ng Pling. Ang web code ay mayroong XSS at ang kliyente ay mayroong XSS at isang RCE. Pinapagana ng Pling ang maraming mga site, mula sa pling.com at store.kde.org hanggang sa gnome-look.org at xfce-look.org.
Ang kakanyahan ng problema yan ba ang platform Pinapayagan ng Pling ang pagdaragdag ng mga bloke ng multimedia sa format na HTML, halimbawa, upang magsingit ng isang video sa YouTube o imahe. Ang code na idinagdag sa pamamagitan ng form ay hindi napatunayan tama, ano Pinapayagan kang magdagdag ng nakakahamak na code sa ilalim ng pagkukunwari ng isang imahe at maglagay ng impormasyon sa direktoryo na isasagawa ng JavaScript code kapag tiningnan. Kung ang impormasyon ay bubuksan sa mga gumagamit na mayroong isang account, posible na magsimula ng mga pagkilos sa direktoryo sa ngalan ng gumagamit na ito, kasama ang pagdaragdag ng isang tawag sa JavaScript sa kanilang mga pahina, na nagpapatupad ng isang uri ng worm sa network.
Rin, ang isang kahinaan ay nakilala sa application ng PlingStore, nakasulat gamit ang electron platform at pinapayagan kang mag-navigate sa mga direktoryo ng OpenDesktop nang walang browser at mai-install ang mga pakete na ipinakita doon. Ang isang kahinaan sa PlingStore ay nagbibigay-daan sa code nito upang tumakbo sa system ng gumagamit.
Kapag tumatakbo ang application ng PlingStore, ang proseso ng ocs-manager ay karagdagang nagsimula, pagtanggap ng mga lokal na koneksyon sa pamamagitan ng WebSocket at pagpapatupad ng mga utos tulad ng paglo-load at paglulunsad ng mga application sa format na AppImage. Ang mga utos ay dapat ipadala ng application ng PlingStore, ngunit sa katunayan, dahil sa kakulangan ng pagpapatotoo, maaaring maipadala ang isang kahilingan sa ocs-manager mula sa browser ng gumagamit. Kung magbubukas ang isang gumagamit ng isang nakakahamak na site, maaari silang magpasimula ng isang koneksyon sa ocs-manager at patakbuhin ang code sa system ng gumagamit.
Ang isang kahinaan sa XSS ay naiulat din sa direktoryo ng extensions.gnome.org; Sa patlang na may URL ng home page ng plugin, maaari mong tukuyin ang isang JavaScript code sa format na "javascript: code" at kapag na-click mo ang link, ang tinukoy na JavaScript ay ilulunsad sa halip na buksan ang site ng proyekto.
Sa isang banda, mas mapag-isip ang problema, dahil ang lokasyon sa direktoryo ng extensions.gnome.org ay na-moderate at ang pag-atake ay nangangailangan hindi lamang sa pagbubukas ng isang tiyak na pahina, ngunit din ng isang malinaw na pag-click sa link. Sa kabilang banda, sa panahon ng pag-verify, maaaring gusto ng moderator na pumunta sa site ng proyekto, huwag pansinin ang form ng link, at patakbuhin ang JavaScript code sa konteksto ng kanilang account.
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta ang mga detalye sa sumusunod na link.