Des chercheurs de Positive Security ont découvert un script cross-site stocké non corrigé (XSS) faille affectant les places de marché Linux.
La vulnérabilité crée la possibilité de, vermifuge attaques de la chaîne d'approvisionnement. Les marchés basés sur Pling sont concernés, comme AppImage Hub, Apparence de gnome, KDE Découvrir l'App Store, Pling.com, et XFCE-Look.
en relation: 7-Un bug polkit vieux d'un an affecte certaines distributions Linux
"L'application native PlingStore est affectée par une vulnérabilité RCE, qui peut être déclenché à partir de n'importe quel site Web pendant que l'application est en cours d'exécution," selon le rapport des chercheurs.
Il est à noter que les chercheurs n'ont pas pu joindre l'équipe Pling, et donc, ils ont décidé de publier leurs conclusions. Cependant, les équipes KDE Discover et Gnome Shell Extension ont rapidement corrigé d'autres failles de moindre gravité qui leur ont été signalées.
Comment les chercheurs ont-ils découvert la vulnérabilité Pling?
Les chercheurs ont récemment analysé la façon dont les applications de bureau populaires gèrent les URI fournis par les utilisateurs, qui a conduit à la découverte de failles RCE dans plusieurs applications. L'une de ces applications était KDE Discover App Store, qui a été identifié avec la vulnérabilité CVE-2021-28117.
libdiscover/backends/KNSBackend/KNSResource.cpp dans KDE Découvrir avant 5.21.3 crée automatiquement des liens vers des URL potentiellement dangereuses (qui ne sont ni https:// ni http://) basé sur le contenu du site web store.kde.org. (5.18.7 est également une version fixe.), la consultatif officiel révèle.
Au cours de la recherche, d'autres vulnérabilités sur les marchés des logiciels libres et open source ont également été découvertes.
"Un XSS wormable avec un potentiel d'attaques de la chaîne d'approvisionnement sur les marchés basés sur Pling, et un RCE drive-by affectant les utilisateurs de l'application PlingStore sont toujours exploitables au 22/06/2021 », note le rapport..
La vulnérabilité PlingStore
L'application PlingStore contient également une faille XSS, qui peut être escaladé à exécution de code distant.
Cette escalade est possible car l'application peut installer d'autres applications par défaut, en utilisant un mécanisme intégré qui exécute le code au niveau du système d'exploitation. Ce même mécanisme peut être exploité par n'importe quel site Web pour exécuter du code natif arbitraire, à condition que l'application PlingStore soit ouverte en arrière-plan.
Une fois le XSS déclenché dans l'application, la charge utile peut créer une connexion au serveur WebSocker local, envoyant ainsi des messages pour exécuter RCE. Cela se fait en téléchargeant et en exécutant un fichier AppImage, les chercheurs ont expliqué.
Qu'en est-il des navigateurs?
Les navigateurs n'implémentent pas la stratégie Same-origin pour les connexions WebSocket. Donc, il est important de valider l'origine côté serveur ou de mettre en œuvre une authentification supplémentaire via la connexion WebSocket. Avec ocs-manager, ce ne est pas le cas, ce qui signifie que n'importe quel site Web dans n'importe quel navigateur peut établir une connexion au serveur WebSocket, et ocs-manager acceptera volontiers toutes les commandes envoyées, le rapport note.
Des correctifs sont-ils disponibles?
Malheureusement, les chercheurs n'ont pas pu joindre les équipes derrière Pling/OpenDesktop/hive01 GmbH; ainsi ils ont publiquement divulgué les résultats pour alerter les utilisateurs des problèmes existants.