Уязвимость позволяет злоумышленникам удаленно выполнить код.
https://www.securitylab.ru/upload/ib...2b2c763887.jpg
Исследователи безопасности сообщили о неисправленной критической уязвимости в магазинах приложений FOSS (Free and Open-Source Software – свободное программное обеспечение с открытым исходным кодом) на базе Pling для Linux. Уязвимость позволяет злоумышленникам удаленно выполнить код и потенциально может использоваться для атак на цепочку поставок.
«Магазины приложений для Linux на базе платформы Pling уязвимы к червеобразному межсайтовому скриптингу и потенциально могут использоваться в атаках на цепочку поставок. Родное приложение PlingStore уязвимо к удаленному выполнению кода, которое можно осуществить с любого сайта, пока приложение запущено», - пояснил соучредитель ИБ-компании Positive Security Фабиан Браунляйн (Fabian Bräunlein).
Уязвимость затрагивает следующие магазины приложений:
<ul><li>appimagehub.com;</li>
</ul><ul><li>store.kde.org;</li>
</ul><ul><li>gnome-look.org;</li>
</ul><ul><li>xfce-look.org;</li>
</ul><ul><li>pling.com.</li>
</ul>PlingStore позволяет пользователям находить и устанавливать ПО, темы, иконки и расширения для Linux, которые нельзя загрузить через центр ПО дистрибутива.
Уязвимость связана с тем, как страница со списком товаров магазина анализирует поля HTML или встроенного мультимедиа, что потенциально позволяет злоумышленнику внедрить вредоносный код JavaScript, который может привести к выполнению произвольного кода.