Стартап з Берліна виявив уразливість віддаленого виконання коду (RCE) та міжсайтовий сценарій (XSS) в Плінг, який використовується в різних каталогах додатків, побудованих на цій платформі, і який може дозволити виконувати код JavaScript в контексті інших користувачів. Постраждалі сайти - це деякі з основних каталогів програм вільного програмного забезпечення такі як store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com серед інших.
Позитивна безпека, яка виявила діри, заявила, що помилки все ще присутні в коді Pling, і що його супровідники не реагували на звіти про вразливість.
Раніше цього року ми розглянули, як популярні настільні програми обробляють надані користувачем URI-адреси, і виявили вразливі місця виконання коду в деяких з них. Однією з програм, яку я перевірив, був KDE Discover App Store, який, як виявилося, обробляв ненадійні URI незахищеним способом (CVE-2021-28117, KDE Security Advisory).
Попутно я швидко знайшов кілька серйозніших уразливих місць на інших ринках вільного програмного забезпечення.
Червоний XSS з потенційними можливостями для атак на ланцюжки поставок на ринках, що базуються на Pling, і прохідний RCE, що впливає на користувачів додатків PlingStore, все ще може бути використаний.
Pling представляється як ринок для креативів для завантаження тем та графіки Робочий стіл Linux, серед іншого, в надії отримати певний прибуток від прихильників. Він складається з двох частин: код, необхідний для запуску власного bling-базару та додатку на базі Electron, який користувачі можуть встановити для управління своїми темами з Pling souk. Веб-код має XSS, а клієнт XSS і RCE. Pling керує кількома сайтами, від pling.com та store.kde.org до gnome-look.org та xfce-look.org.
Суть проблеми полягає в тому, що платформа Pling дозволяє додавати мультимедійні блоки у форматі HTML, наприклад, щоб вставити відео чи зображення на YouTube. Код, доданий через форму, не перевіряється правильно, що дозволяє додавати зловмисний код під виглядом зображення і помістіть інформацію в каталог, який код JavaScript буде виконувати при перегляді. Якщо інформація буде відкрита для користувачів, які мають обліковий запис, тоді можна ініціювати дії в каталозі від імені цього користувача, включаючи додавання виклику JavaScript на їхні сторінки, реалізуючи своєрідний мережевий черв'як.
Також, у додатку PlingStore виявлено вразливість, написаний з використанням платформи Electron і дозволяє переміщатися по каталогах OpenDesktop без браузера та встановлювати представлені там пакети. Уразливість в PlingStore дозволяє запускати його код в системі користувача.
Коли запущена програма PlingStore, додатково запускається процес ocs-manager, приймання локальних з'єднань через WebSocket та виконання таких команд, як завантаження та запуск програм у форматі AppImage. Команди повинні передаватися програмою PlingStore, але насправді, через відсутність автентифікації, запит може бути надісланий до oc-manager з браузера користувача. Якщо користувач відкриває шкідливий сайт, він може встановити з'єднання з ocs-manager і запустити код в системі користувача.
Вразливість XSS також повідомляється в каталозі extensions.gnome.org; У полі з URL-адресою домашньої сторінки плагіна ви можете вказати код JavaScript у форматі "javascript: code", і при натисканні на посилання вказаний JavaScript буде запущено замість відкриття сайту проекту.
З одного боку, проблема більш спекулятивна, оскільки місцезнаходження в каталозі extensions.gnome.org модерується, і атака вимагає не тільки відкриття певної сторінки, але й явного натискання на посилання. З іншого боку, під час перевірки модератор може захотіти перейти на сайт проекту, проігнорувати форму посилання та запустити код JavaScript у контексті свого облікового запису.
Нарешті, якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися деталі у наступному посиланні.