來自柏林的創業公司 暴露了一個遠程代碼執行漏洞 (RCE) 和跨站腳本 (XSS) 缺陷 在普林, 它用於在此平台上構建的各種應用程序目錄,並且可以允許 JavaScript 代碼在其他用戶的上下文中執行。 受影響的站點是一些主要的免費軟件應用程序目錄 例如 store.kde.org、appimagehub.com、gnome-look.org、xfce-look.org、pling.com 等。
發現漏洞的 Positive Security 表示,漏洞仍然存在於 Pling 代碼中,其維護人員尚未對漏洞報告做出回應。
今年早些時候,我們研究了流行的桌面應用程序如何處理用戶提供的 URI,並在其中幾個中發現了代碼執行漏洞。 我檢查過的應用程序之一是 KDE Discover App Store,結果證明它以不安全的方式處理不受信任的 URI(CVE-2021-28117,KDE 安全公告)。
一路上,我很快在其他自由軟件市場發現了幾個更嚴重的漏洞。
在基於 Pling 的市場中具有潛在供應鏈攻擊潛力的蠕蟲 XSS 和影響 PlingStore 應用程序用戶的 RCE 仍然可以被利用。
Pling 將自己展示為創意上傳主題和圖形的市場 Linux桌面等,希望能從支持者那裡獲得一些利潤。 它分為兩部分: 運行他們自己的 bling bazaar 和基於 Electron 的應用程序所需的代碼,用戶可以安裝該應用程序以從 Pling souk 管理他們的主題。 Web 代碼具有 XSS,客戶端具有 XSS 和 RCE。 Pling 支持多個站點,從 pling.com 和 store.kde.org 到 gnome-look.org 和 xfce-look.org。
問題的實質 是那個平台 Pling 允許添加 HTML 格式的多媒體塊, 例如,插入 YouTube 視頻或圖像。 通過表單添加的代碼未驗證 正確,什麼 允許您以圖像為幌子添加惡意代碼 並將信息放在 JavaScript 代碼在查看時將執行的目錄中。 如果信息將向擁有帳戶的用戶開放,則可以代表該用戶在目錄中啟動操作,包括向其頁面添加 JavaScript 調用,實現一種網絡蠕蟲。
還,在 PlingStore 應用程序中發現了一個漏洞, 使用 Electron 平台編寫,允許您在沒有瀏覽器的情況下瀏覽 OpenDesktop 目錄並安裝那裡提供的軟件包。 PlingStore 中的一個漏洞允許其代碼在用戶系統上運行。
當 PlingStore 應用程序運行時,會另外啟動 ocs-manager 進程, 通過 WebSocket 接受本地連接 並以 AppImage 格式執行諸如加載和啟動應用程序之類的命令. 這些命令應該是由 PlingStore 應用程序傳輸的,但實際上,由於缺少身份驗證,可以從用戶的瀏覽器向 ocs-manager 發送請求。 如果用戶打開惡意站點,他們可以發起與 ocs-manager 的連接,並讓代碼在用戶的系統上運行。
extensions.gnome.org 目錄中也報告了一個 XSS 漏洞; 在帶有插件主頁 URL 的字段中,您可以指定格式為“javascript: code”的 JavaScript 代碼,當您單擊鏈接時,將啟動指定的 JavaScript,而不是打開項目站點。
一方面, 這個問題更具推測性,因為 extensions.gnome.org 目錄中的位置正在被審核,攻擊不僅需要打開某個頁面,還需要明確點擊鏈接。 另一方面,在驗證過程中,版主可能想要轉到項目站點,忽略鏈接表單,並在其帳戶的上下文中運行 JavaScript 代碼。
最後,如果您有興趣了解更多信息,可以諮詢 以下鏈接中的詳細信息。