Уязвимость в store.kde.org и каталогах OpenDesktop

В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.com.

Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида ”
” и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя, в том числе добавить вызов JavaScript на его страницы, реализовав подобие сетевого червя.

Кроме того, выявлена уязвимость в приложении PlingStore, написанном с использованием платформы Electron и позволяющем производить навигацию по каталогам OpenDesktop без браузера и устанавливать представленные там пакеты. Уязвимость в PlingStore позволяет выполнить свой код в системе пользователя. Во время работы приложения
PlingStore дополнительно запускается процесс ocs-manager, принимающий локальные соединения через WebSocket и выполняющий команды, такие как загрузка и запуск приложений в формате AppImage. Подразумевается, что команды передаёт приложение PlingStore, но на деле из-за отсутствия аутентификации запрос к ocs-manager можно отправить и из браузера пользователя. В случае открытия пользователем вредоносного сайта, он может инициировать соединение с ocs-manager и добиться выполнения кода на системе пользователя.

Так же сообщается об XSS-уявзимости в каталоге extensions.gnome.org – в поле с URL домашней страницы дополнения можно указать JavaScript-код в форме “javascript: код” и при клике на ссылке вместо открытия сайта проекта будет запущен указанный JavaScript. С одной стороны, проблема носит больше умозрительный характер, так как размещение в каталоге extensions.gnome.org проходит премодерацию и для атаки требуется не только открытие определённой страницы, но и явный клик по ссылке. С другой стороны, не исключено, что во время проверки модератор пожелает перейти на сайт проекта, не обратит внимание на форму ссылки и запустит JavaScript-код в контексте своей учётной записи.

Release. Ссылка here.