Уязвимость в Pling Store для Linux позволяет осуществлять атаки на цепочку поставок

23 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Исследователи безопасности сообщили о неисправленной критической уязвимости в магазинах приложений FOSS (Free and Open-Source Software – свободное программное обеспечение с открытым исходным кодом) на базе Pling для Linux. Уязвимость позволяет злоумышленникам удаленно выполнить код и потенциально может использоваться для атак на цепочку поставок.

«Магазины приложений для Linux на базе платформы Pling уязвимы к червеобразному межсайтовому скриптингу и потенциально могут использоваться в атаках на цепочку поставок. Родное приложение PlingStore уязвимо к удаленному выполнению кода, которое можно осуществить с любого сайта, пока приложение запущено», - пояснил

	соучредитель ИБ-компании Positive Security Фабиан Браунляйн (Fabian Bräunlein).

Уязвимость затрагивает следующие магазины приложений:

appimagehub.com;

store.kde.org;

gnome-look.org;

xfce-look.org;

pling.com.

PlingStore позволяет пользователям находить и устанавливать ПО, темы, иконки и расширения для Linux, которые нельзя загрузить через центр ПО дистрибутива.

Уязвимость связана с тем, как страница со списком товаров магазина анализирует поля HTML или встроенного мультимедиа, что потенциально позволяет злоумышленнику внедрить вредоносный код JavaScript, который может привести к выполнению произвольного кода.

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Уязвимость в Pling Store для Linux позволяет осуществлять атаки на цепочку поставок