他们在 Pling 中发现了一个影响 KDE Store、OpenDesktop、AppImage 和其他商店的漏洞

来自柏林的创业公司 暴露了一个远程代码执行漏洞 (RCE) 和跨站脚本 (XSS) 缺陷 在普林, 它用于在此平台上构建的各种应用程序目录,并且可以允许 JavaScript 代码在其他用户的上下文中执行。 受影响的站点是一些主要的免费软件应用程序目录 例如 store.kde.org、appimagehub.com、gnome-look.org、xfce-look.org、pling.com 等。

发现漏洞的 Positive Security 表示,漏洞仍然存在于 Pling 代码中,其维护人员尚未对漏洞报告做出回应。

今年早些时候,我们研究了流行的桌面应用程序如何处理用户提供的 URI,并在其中几个中发现了代码执行漏洞。 我检查过的应用程序之一是 KDE Discover App Store,结果证明它以不安全的方式处理不受信任的 URI(CVE-2021-28117,KDE 安全公告)。

一路上,我很快发现了其他自由软件市场中的几个更严重的漏洞。

在基于 Pling 的市场中具有潜在供应链攻击潜力的蠕虫 XSS 和影响 PlingStore 应用程序用户的 RCE 仍然可以被利用。

Pling 将自己展示为创意上传主题和图形的市场 Linux桌面等,希望能从支持者那里获得一些利润。 它分为两部分: 运行他们自己的 bling bazaar 和基于 Electron 的应用程序所需的代码,用户可以安装该应用程序以从 Pling souk 管理他们的主题。 Web 代码具有 XSS,客户端具有 XSS 和 RCE。 Pling 为多个站点提供支持,从 pling.com 和 store.kde.org 到 gnome-look.org 和 xfce-look.org。

问题的实质 是那个平台 Pling 允许添加 HTML 格式的多媒体块, 例如,插入 YouTube 视频或图像。 通过表单添加的代码未验证 正确,什么 允许您以图像为幌子添加恶意代码 并将信息放在 JavaScript 代码在查看时将执行的目录中。 如果信息将向拥有帐户的用户开放,则可以代表该用户在目录中启动操作,包括向其页面添加 JavaScript 调用,实现一种网络蠕虫。

,在 PlingStore 应用程序中发现了一个漏洞, 使用 Electron 平台编写,允许您在没有浏览器的情况下浏览 OpenDesktop 目录并安装那里提供的软件包。 PlingStore 中的一个漏洞允许其代码在用户系统上运行。

当 PlingStore 应用程序运行时,会另外启动 ocs-manager 进程, 通过 WebSocket 接受本地连接 并以 AppImage 格式执行诸如加载和启动应用程序之类的命令. 这些命令应该是由 PlingStore 应用程序传输的,但实际上,由于缺少身份验证,可以从用户的浏览器向 ocs-manager 发送请求。 如果用户打开恶意站点,他们可以发起与 ocs-manager 的连接,并让代码在用户的系统上运行。

extensions.gnome.org 目录中也报告了一个 XSS 漏洞; 在带有插件主页 URL 的字段中,您可以指定格式为“javascript: code”的 JavaScript 代码,当您单击链接时,将启动指定的 JavaScript 而不是打开项目站点。

一方面, 这个问题更具推测性,因为 extensions.gnome.org 目录中的位置正在被审核,攻击不仅需要打开某个页面,还需要明确点击链接。 另一方面,在验证过程中,版主可能想要转到项目站点,忽略链接表单,并在其帐户的上下文中运行 JavaScript 代码。

最后,如果您有兴趣了解更多信息,可以咨询 以下链接中的详细信息。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。