CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate în Linux Pling Store Apps

Aplicațiile dezvoltate pe sistemele de operare Linux ce au la bază platforma Pling sunt afectate de o vulnerabilitate ce permite lansarea unui atac de tip cross-site scripting (XSS), cât și atacurilor de tip supply-chain.

Exploatarea acestor vulnerabilități poate conduce atât la modificarea neautorizată a conținutului platformei Pling, cât și a aplicațiilor prin introducerea de backdoor-uri.

Vulnerabilitatea a fost descoperită inițial în repository-ul KDE Discover, dar are și impact asupra aplicațiilor de tip free and open-source software (FOSS) bazate pe Pling, cum ar fi:

  • appimagehub.com;
  • store.kde.org;
  • gnome-look.org;
  • xfce-look.org;
  • pling.com.

De asemenea, la nivelul aplicației PlingStore, care este o aplicație Electron, a fost identificată o vulnerabilitate de tip remote code execution care poate fi declanșată din orice browser întrucât aceasta permite instalarea de aplicații, astfel existând posibilitatea de executare de cod malițios la nivel kernel-ului.   În ciuda faptului că această vulnerabilitate a fost semnalată, în prezent nu există vreo actualizare de securitate pentru remedierea acesteia.

Surse:

https://thehackernews.com/2021/06/unpatched-critical-flaw-affects-pling.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică