Linux Pling Store应用程序中未修补的漏洞可能会导致供应链攻击

网络安全研究人员披露了一个严重的未修补漏洞，该漏洞会影响基于Pling的Linux平台自由和开源软件（FOSS）市场，可能会被滥用以发起供应链攻击并实现远程代码执行（RCE）。

“基于Pling平台的Linux市场容易受到可工作的[跨站点脚本]攻击，有可能引发供应链攻击，”积极安全联合创始人Fabian Bräunlein在今天发布的一篇技术文章中说。“本机PlingStore应用程序受RCE漏洞影响，该漏洞可在应用程序运行时从任何网站触发。”

The Pling-based app stores impacted by the flaw include —

• helpimahub。具有
• 很大。哪里。组织
• 侏儒看。组织
• 看。组织
• 普林。通用域名格式

PlingStore允许用户搜索和安装Linux软件、主题、图标和其他无法通过发行版软件中心下载的附加组件。

该漏洞源于商店的产品列表页面解析HTML或嵌入式媒体字段的方式，从而可能允许攻击者注入恶意JavaScript代码，从而导致任意代码执行。

Bräunlein说：“存储的XSS可用于修改活动列表，或在其他用户的上下文中在Pling store上发布新列表，从而生成可工作的XSS。”。

更令人不安的是，这可能会导致供应链攻击XSS蠕虫，其中JavaScript有效负载可能会被对手利用，上传特洛伊木马版本的软件，并调整受害者列表的元数据，以包含和传播攻击代码。

由于PlingStore应用程序充当上述所有应用程序商店的单一数字店面，Positive Security指出，XSS漏洞可从应用程序内部触发，当与沙箱旁路结合时，可能导致远程代码执行。

Bräunlein解释说：“由于应用程序可以安装其他应用程序，因此它有另一个内置机制来在[操作系统]级别执行代码。”。“事实证明，当PlingStore应用程序在后台打开时，任何网站都可以利用该机制运行任意本机代码。”

换句话说，当用户通过浏览器访问恶意网站时，在后台运行的Pling应用程序中会触发XSS。网站中的JavaScript代码不仅可以与用于监听应用程序消息的本地WebSocket服务器建立连接，还可以通过下载和执行应用程序来发送消息以执行任意本机代码。AppImage包文件。

此外，GNOME Shell Extensions marketplace中发现的一个类似的XSS漏洞可能会通过向GNOME Shell Integration浏览器扩展甚至后门发布的扩展发出恶意命令来攻击受害者的计算机。

这家总部位于柏林的网络安全公司指出，缺陷已于2月24日报告给各自的项目维护人员，KDE项目和GNOME安全部门在披露后发布了问题补丁。鉴于与PlingStore相关的RCE漏洞尚未解决，建议在修复到位之前不要运行Electron应用程序。

该报告发布不到一个月前，在几个流行的Visual Studio代码扩展中发现了严重的安全漏洞，这些漏洞可能使攻击者通过开发人员的集成开发环境危害本地机器以及构建和部署系统，最终为供应链攻击铺平道路。

Bräunlein说：“[缺陷]表明了与此类市场相关的额外风险。”。“在这种环境下，即使是相对较小的漏洞（例如，缺少来源检查）也可能导致严重后果（由RCE从任何浏览器驱动，在后台运行有漏洞的应用程序）。此类应用程序的开发人员必须进行高级别的审查，以确保其安全性。”