Sicherheitslücke in store.kde.org und OpenDesktop-Katalogen

In den auf der Pling-Plattform basierenden Anwendungslisten wurde eine Sicherheitsanfälligkeit entdeckt, die XSS-Angriffe ermöglicht, um JavaScript-Code im Kontext anderer Benutzer auszuführen. Betroffene Websites sind unter anderem store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org und pling.com.

Das Problem besteht darin, dass die Plattform Pling das Hinzufügen von Multimedia-Elementen im HTML-Format erlaubt, zum Beispiel zur Einbindung eines YouTube-Videos oder eines Bildes. Der über das Formular hinzugefügte Code wird nicht ordnungsgemäß überprüft, wodurch es möglich wird, den Code in Form eines Bildes hinzuzufügen, beispielsweise «<img src="x" onerror="alert(1)">», und Informationen im Katalog bereitzustellen, deren Ansicht JavaScript-Code auslösen kann. Wenn diese Informationen von Nutzern mit einem Konto geöffnet werden, können im Katalog Aktionen im Namen dieses Nutzers ausgelöst werden, einschließlich der Möglichkeit, einen JavaScript-Aufruf auf seinen Seiten hinzuzufügen, wodurch eine Art Computerwurm realisiert wird.

Darüber hinaus wurde eine Sicherheitsanfälligkeit in der PlingStore-Anwendung festgestellt, die mit der Electron-Plattform entwickelt wurde und es ermöglicht, durch die OpenDesktop-Kataloge ohne Browser zu navigieren und die dort angebotenen Pakete zu installieren. Die Sicherheitsanfälligkeit in PlingStore erlaubt es, eigenen Code im System des Benutzers auszuführen. Während der Verwendung der PlingStore-Anwendung wird zusätzlich der Prozess ocs-manager gestartet, der lokale Verbindungen über WebSocket annimmt und Befehle ausführt, wie das Herunterladen und Starten von Anwendungen im AppImage-Format. Es wird angenommen, dass die Befehle von der PlingStore-Anwendung übermittelt werden, doch in der Realität kann aufgrund fehlender Authentifizierung auch ein Request an den ocs-manager aus dem Benutzerbrowser gesendet werden. Wenn der Benutzer eine bösartige Website eröffnet, kann er eine Verbindung zum ocs-manager initiieren und den Code im System des Benutzers ausführen.

Es wurde auch über eine XSS-Sicherheitsanfälligkeit im Katalog extensions.gnome.org berichtet – im Feld für die URL der Homepage einer Erweiterung kann JavaScript-Code in der Form „javascript: code“ angegeben werden. Beim Klicken auf den Link wird anstelle der Eröffnung der Projektwebsite der angegebene JavaScript-Code ausgeführt. Einerseits hat das Problem eher theoretischen Charakter, da die Einreichungen im Katalog extensions.gnome.org einer Vorprüfung unterzogen werden. Für einen Angriff ist nicht nur der Zugriff auf eine bestimmte Seite erforderlich, sondern auch ein gezielter Klick auf den Link. Andererseits könnte es jedoch vorkommen, dass der Moderator während der Prüfung auf die Projektseite klicken möchte, dabei nicht auf die Form des Links achtet und so den JavaScript-Code im Kontext seines Kontos ausführt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster