东森平台

首页 > 宁静研究 > 宁静通报 > 宁静通告

Linux Pling-Store RCE漏洞通告

宣布时间 2021-06-24

0x00 漏洞概述

CVE ID		时间	2021-06-24
类型	XSS、RCE	等级	高危
远程利用	是	影响范围
攻击庞大度		可用性	高
用户交互		所需权限
PoC/EXP	已果然	在野利用	否

0x01 漏洞详情

Pling-Store 是一款适用于 OCS 兼容网站（如 pling.com、gnome-look.org、appimagehub.com 等）的应用法式和实用法式商店，可以使用它下载、安装和应用桌面主题、图标主题、壁纸等。Pling-Store使用 Appimage 包格式，应适用于如 Ubuntu、Debian、Arch、Suse、Redhat 等刊行版。

2021年06月22日，国外宁静研究员果然披露了 Pling平台（包罗 AppImage Hub、Gnome-Look、KDE Discover App Store、Pling.com 和 XFCE-Look）中发现的XSS和RCE漏洞，前者容易受到XSS蠕虫攻击，并可能导致供应链攻击；后者可能导致偷渡式下载攻击。

KDE Discover XSS

研究人员首先在KDE Discover 中发现了此存储型XSS漏洞，通过在web应用法式中插入恶意脚本，当访问恶意列表时触发 XSS。这种存储型XSS可用于修改活动列表，或在其他用户的配景下在Pling-store宣布新的列表，从而导致XSS蠕虫攻击。除了典型的XSS影响外，攻击者可以通过上传后门或更改Payload进行供应链攻击。

Pling-Store RCE

所有基于Pling开发的应用法式商店都宣传使用原生的Pling-Store应用法式，这是一个可以显示差异网站并可以一键安装应用法式的 Electron 应用法式。

该Electron应用法式也可以触发XSS，而且当与Electron沙盒绕过结合使用时能够导致RCE。

因为在设计时，该应用法式可以安装其他应用法式，它有另一个内置的机制，可以在系统上执行代码。而当Pling-Store应用法式在后台打开时，该机制可以被任何网站利用来运行任意的当地代码。当XSS在应用法式内部被触发时，Payload可以建立与当地WebSocket服务器的连接，并发送消息以执行任意当地代码（通过下载和执行AppImage文件）。

研究人员宣布了PoC，表明可以通过在任何浏览器中访问恶意网站来进行攻击。

0x02 处置建议

由于无法联系到Pling开发团队，目前此漏洞暂未修复。建议使用以下临时缓解措施：

在RCE漏洞修复之前，不要运行Pring-Store Electron应用法式（最好删除AppImage）。

注意，appimagehub.com、store.kde.org、gnome-look.org、xfce-look.org和pling.com上的账户都可能被XSS劫持，任何可下载的资产都可能被破坏。最好注销账户，在漏洞被修复之前不要使用这些网站。

0x03 参考链接

https://positive.security/blog/hacking-linux-marketplaces

https://threatpost.com/unpatched-linux-marketplace-bugs-rce/167155/

https://breaking.systems/plingstore_rce_poc.html

0x04 时间线

2021-06-24 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号