Уязвимость в store.kde.org и каталогах OpenDesktop

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
26-Июн-2021 01:30

В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.com.
Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида "<img src=x onerror=alert(1)>" и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя, в том числе добавить вызов JavaScript на его страницы, реализовав подобие сетевого червя.
Кроме того, выявлена уязвимость в приложении PlingStore, написанном с использованием платформы Electron и позволяющем производить навигацию по каталогам OpenDesktop без браузера и устанавливать представленные там пакеты. Уязвимость в PlingStore позволяет выполнить свой код в системе пользователя. Во время работы приложения
PlingStore дополнительно запускается процесс ocs-manager, принимающий локальные соединения через WebSocket и выполняющий команды, такие как загрузка и запуск приложений в формате AppImage. Подразумевается, что команды передаёт приложение PlingStore, но на деле из-за отсутствия аутентификации запрос к ocs-manager можно отправить и из браузера пользователя. В случае открытия пользователем вредоносного сайта, он может инициировать соединение с ocs-manager и добиться выполнения кода на системе пользователя.
Так же сообщается об XSS-уявзимости в каталоге extensions.gnome.org - в поле с URL домашней страницы дополнения можно указать JavaScript-код в форме "javascript: код" и при клике на ссылке вместо открытия сайта проекта будет запущен указанный JavaScript. С одной стороны, проблема носит больше умозрительный характер, так как размещение в каталоге extensions.gnome.org проходит премодерацию и для атаки требуется не только открытие определённой страницы, но и явный клик по ссылке. С другой стороны, не исключено, что во время проверки модератор пожелает перейти на сайт проекта, не обратит внимание на форму ссылки и запустит JavaScript-код в контексте своей учётной записи.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_kde, #_pling, #_opendesktop
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:20
Часовой пояс: UTC + 5