በቅርብ ጊዜ የታወቁ በርካታ ተጋላጭነቶች፡-
- ወሳኝ ተጋላጭነት (CVE-2022-41034) በ Visual Studio Code (VS Code) ውስጥ ተጠቃሚው በአጥቂ የተዘጋጀውን አገናኝ ሲከፍት ኮድ እንዲፈጽም ያስችላል። ኮዱ የርቀት ልማት ባህሪን በመጠቀም በቪኤስ ኮድ ማሽን ወይም ከቪኤስ ኮድ ጋር በተገናኘ በማንኛውም ማሽን ላይ ሊተገበር ይችላል። ችግሩ በቪኤስ ኮድ ዌብ ስሪት ተጠቃሚዎች እና በእሱ ላይ የተመሰረተ የድር አርታዒያን፣ GitHub Codespaces እና github.devን ጨምሮ ትልቁን አደጋ ይፈጥራል።
ተጋላጭነቱ የሚከሰተው “ትዕዛዝ:”ን የማስኬድ ችሎታ የአገልግሎት አገናኞች ተርሚናል ያለው መስኮት ለመክፈት እና በውስጡ የዘፈቀደ የዛጎል ትዕዛዞችን ለማስፈጸም ልዩ የተነደፉ ሰነዶችን በጂፒተር ማስታወሻ ደብተር በአርታኢው ውስጥ በሚሰራበት ጊዜ ፣ ከድር አገልጋይ ቁጥጥር ስር በሚወርድበት ጊዜ። በአጥቂው (ውጫዊ ፋይሎች ከ ".ipynb" ቅጥያ ጋር ያለ ተጨማሪ ማረጋገጫዎች በ "በታማኝነት" ሁነታ ይከፈታሉ, ይህም "ትእዛዝ:" ማቀናበር ያስችላል).
- ተጋላጭነት በጂኤንዩ ኢማክስ የጽሑፍ አርታኢ (CVE-2022-45939) ውስጥ ተለይቷል፣ ይህም ፋይልን በኮድ ሲከፍት የትእዛዞችን አፈፃፀም ማደራጀት ያስችላል፣ ልዩ ቁምፊዎችን በ ctags Toolkit በመጠቀም በተሰራው ስም በመተካት።
- በግራፋና የማስጠንቀቂያ ስርዓት በኩል የጃቫ ስክሪፕት ኮድ እንዲፈፀም የሚያስችል ተጋላጭነት (CVE-2022-31097) በግራፋና የክፍት ምንጭ ዳታ ምስላዊ መድረክ ላይ ተለይቷል። የአርታዒ መብት ያለው አጥቂ በልዩ ሁኔታ የተነደፈ ማገናኛን አዘጋጅቶ አስተዳዳሪው ይህን ሊንክ ጠቅ ካደረገ ከአስተዳዳሪ መብቶች ጋር የግራፋናን በይነገጽ መድረስ ይችላል። ተጋላጭነቱ በግራፋና 9.2.7፣ 9.3.0፣ 9.0.3፣ 8.5.9፣ 8.4.10 እና 8.3.10 ልቀቶች ላይ ተስተካክሏል።
- ተጋላጭነት (CVE-2022-46146) ላኪ-የመሳሪያ ስብስብ ቤተ-መጽሐፍት ውስጥ ለፕሮሜቲየስ ሜትሪክስ ላኪዎችን ለመፍጠር ያገለግል ነበር። ችግሩ መሰረታዊ ማረጋገጫን እንዲያልፉ ያስችልዎታል።
- ያልተረጋገጠ ተጠቃሚ የርቀት ኮድ ማስፈጸሚያ እንዲያገኝ የሚያስችለው በ Apache Fineract የፋይናንስ አገልግሎቶች መድረክ ውስጥ ተጋላጭነት (CVE-2022-44635)። ችግሩ የተፈጠረው ፋይሎችን ለመጫን አካል በሚሰራው መንገድ ላይ ከ"..." ቁምፊዎች በትክክል ማምለጥ ባለመቻሉ ነው። ተጋላጭነቱ በApache Fineract 1.7.1 እና 1.8.1 ልቀቶች ውስጥ ተስተካክሏል።
- ልዩ ቅርጸት ያለው ውሂብ ከሴራላይዝድ ሲደረግ ብጁ ኮድ እንዲፈፀም የሚፈቅድ ተጋላጭነት (CVE-2022-46366) በ Apache Tapestry Java Framework ውስጥ። ችግሩ የሚታየው በአሮጌው የApache Tapestry 3.x ቅርንጫፍ ውስጥ ብቻ ነው፣ እሱም ከአሁን በኋላ አይደገፍም።
- በአፓቼ የአየር ፍሰት አቅራቢዎች ውስጥ ያሉ ተጋላጭነቶች ወደ ቀፎ (CVE-2022-41131) ፣ ፒኖት (CVE-2022-38649) ፣ ፒግ (CVE-2022-40189) እና ስፓርክ (CVE-2022-40954) ፣ ይህም ወደ የርቀት ኮድ አፈፃፀም እየመራ arbitra ወደ DAG ፋይሎች ሳይጽፉ ከሥራ አፈፃፀም አንፃር ፋይሎችን ወይም ትእዛዝን መተካት።
ምንጭ: opennet.ru