Уязвимость в Pling Store для Linux позволяет осуществлять атаки на цепочку поставок

Исследователи безопасности сообщили о неисправленной критической уязвимости в магазинах приложений FOSS (Free and Open-Source Software – свободное программное обеспечение с открытым исходным кодом) на базе Pling для Linux. Уязвимость позволяет злоумышленникам удаленно выполнить код и потенциально может использоваться для атак на цепочку поставок.

«Магазины приложений для Linux на базе платформы Pling уязвимы к червеобразному межсайтовому скриптингу и потенциально могут использоваться в атаках на цепочку поставок. Родное приложение PlingStore уязвимо к удаленному выполнению кода, которое можно осуществить с любого сайта, пока приложение запущено», - пояснил соучредитель ИБ-компании Positive Security Фабиан Браунляйн (Fabian Bräunlein).

Уязвимость затрагивает следующие магазины приложений:

• appimagehub.com;

• store.kde.org;

• gnome-look.org;

• xfce-look.org;

• pling.com.

PlingStore позволяет пользователям находить и устанавливать ПО, темы, иконки и расширения для Linux, которые нельзя загрузить через центр ПО дистрибутива.

Уязвимость связана с тем, как страница со списком товаров магазина анализирует поля HTML или встроенного мультимедиа, что потенциально позволяет злоумышленнику внедрить вредоносный код JavaScript, который может привести к выполнению произвольного кода.