24/06/21
Исследователи безопасности сообщили о неисправленной критической уязвимости в магазинах приложений FOSS (Free and Open-Source Software – свободное программное обеспечение с открытым исходным кодом) на базе Pling для Linux. Уязвимость позволяет злоумышленникам удаленно выполнить код и потенциально может использоваться для атак на цепочку поставок.
«Магазины приложений для Linux на базе платформы Pling уязвимы к червеобразному межсайтовому скриптингу и потенциально могут использоваться в атаках на цепочку поставок. Родное приложение PlingStore уязвимо к удаленному выполнению кода, которое можно осуществить с любого сайта, пока приложение запущено», - пояснил соучредитель ИБ-компании Positive Security Фабиан Браунляйн (Fabian Bräunlein).
Уязвимость затрагивает следующие магазины приложений:
- appimagehub.com;
- store.kde.org;
- gnome-look.org;
- xfce-look.org;
- pling.com.
PlingStore позволяет пользователям находить и устанавливать ПО, темы, иконки и расширения для Linux, которые нельзя загрузить через центр ПО дистрибутива.
Уязвимость связана с тем, как страница со списком товаров магазина анализирует поля HTML или встроенного мультимедиа, что потенциально позволяет злоумышленнику внедрить вредоносный код JavaScript, который может привести к выполнению произвольного кода.
