Dobësi në drejtoritë store.kde.org dhe OpenDesktop

Një dobësi është identifikuar në drejtoritë e aplikacioneve të ndërtuara në platformën Pling që mund të lejojë një sulm XSS të ekzekutojë kodin JavaScript në kontekstin e përdoruesve të tjerë. Faqet e prekura nga kjo çështje përfshijnë store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org dhe pling.com.

Thelbi i problemit është se platforma Pling lejon shtimin e blloqeve multimediale në formatin HTML, për shembull, për të futur një video ose imazh në YouTube. Kodi i shtuar përmes formularit nuk është kontrolluar siç duhet, gjë që ju lejon të shtoni kodin si "" nën maskën e një imazhi dhe të vendosni informacione në drejtori, kur të shikoni, kodin JavaScript do të nisë. Nëse informacioni është i hapur për përdoruesit që kanë një llogari, atëherë mund të filloni veprime në drejtori në emër të këtij përdoruesi, duke përfshirë shtimin e një thirrjeje JavaScript në faqet e tij, duke zbatuar diçka si një krimb rrjeti.

Për më tepër, një dobësi u identifikua në aplikacionin PlingStore, i shkruar duke përdorur platformën Electron dhe ju lejon të lundroni në katalogët OpenDesktop pa një shfletues dhe të instaloni paketat e paraqitura atje. Një dobësi në PlingStore lejon që kodi të ekzekutohet në sistemin e një përdoruesi. Ndërsa aplikacioni PlingStore është duke u ekzekutuar, procesi ocs-manager ekzekutohet gjithashtu, duke pranuar lidhjet lokale nëpërmjet WebSocket dhe duke ekzekutuar komanda të tilla si shkarkimi dhe ekzekutimi i aplikacioneve të formatuara AppImage. Supozohet se komandat dërgohen nga aplikacioni PlingStore, por në fakt, për shkak të mungesës së vërtetimit, një kërkesë për ocs-manager mund të dërgohet nga shfletuesi i përdoruesit. Nëse një përdorues hap një faqe me qëllim të keq, ai mund të fillojë një lidhje me ocs-manager dhe të arrijë ekzekutimin e kodit në sistemin e përdoruesit.

Një dobësi XSS raportohet gjithashtu në drejtorinë extensions.gnome.org - në fushën me URL-në e faqes kryesore të shtesës, mund të specifikoni kodin JavaScript në formën "javascript: code" dhe kur klikoni në lidhje, në vend të duke hapur faqen e internetit të projektit, JavaScript i specifikuar do të hapet. Nga njëra anë, problemi është më spekulativ, pasi vendosja në drejtorinë extensions.gnome.org është e paramoderuar dhe një sulm kërkon jo vetëm hapjen e një faqeje specifike, por edhe një klikim të qartë në lidhje. Nga ana tjetër, është e mundur që gjatë verifikimit moderatori të dëshirojë të shkojë në faqen e projektit, të mos i kushtojë vëmendje formës së lidhjes dhe të ekzekutojë kodin JavaScript në kontekstin e llogarisë së tij.

Burimi: opennet.ru

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster