Уязвимость в store.kde.org и каталогах OpenDesktop
25 июня 2021 года
В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.com.
Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида "<img src=x onerror=alert(1)>" и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя, в том числе добавить вызов JavaScript на его страницы, реализовав подобие сетевого червя.
Кроме того, выявлена уязвимость в приложении PlingStore, написанном с использованием платформы Electron и позволяющем осуществлять навигацию по каталогам OpenDesktop без браузера. Уязвимость в PlingStore позволяет выполнить свой код в системе пользователя. Во время работы приложения PlingStore дополнительно запускается процесс ocs-manager, принимающий локальные соединения через WebSocket и выполняющий команды, такие как загрузка и запуск приложений в формате AppImage. Подразумевается, что команды передаёт приложение PlingStore, но на деле из-за отсутствия аутентификации запрос к ocs-manager можно отправить и из браузера пользователя. В случае открытия пользователем вредоносного сайта, он может инициировать соединение с ocs-manager и добиться выполнения кода на системе пользователя.
Так же сообщается об XSS-уявзимости в extensions.gnome.org. Суть проблемы в том, что в поле с URL домашней страницы проекта можно указать JavaScript-код в форме "javascript:" и при клике на ссылке вместо открытия сайта проекта будет запущен указанный JavaScript. С одной стороны проблема носит больше умозрительный характер, так как размещение в каталоге extensions.gnome.org проходит премодерацию и для атаки требуется не только открытие определённой страницы, но и явный клик по ссылке. С другой стороны не исключено, что во время проверки модератор пожелает перейти на сайт проекта, не обратит внимание на форму ссылки и запустит JavaScript-код в контексте своей учётной записи.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
