ProHoster > بلوق > أخبار الإنترنت > نقاط الضعف في VS Code و Grafana و GNU Emacs و Apache Fineract

نقاط الضعف في VS Code و Grafana و GNU Emacs و Apache Fineract

العديد من نقاط الضعف التي تم تحديدها مؤخرًا:

  • تم التعرف على ثغرة أمنية خطيرة (CVE-2022-41034) في Visual Studio Code (رمز VS) الذي يسمح بتنفيذ التعليمات البرمجية عندما يفتح المستخدم رابطًا أعده مهاجم. يمكن تنفيذ الكود إما على جهاز VS Code أو على أي جهاز آخر متصل بـ VS Code باستخدام ميزة Remote Development. تشكل المشكلة أكبر خطر على مستخدمي إصدار الويب من VS Code ومحرري الويب المعتمدين عليها ، بما في ذلك GitHub Codespaces و github.dev.

    تنجم الثغرة الأمنية عن القدرة على معالجة "command:" روابط الخدمة لفتح نافذة بها محطة طرفية وتنفيذ أوامر shell عشوائية فيها ، عند معالجة مستندات مصممة خصيصًا بتنسيق Jypiter Notebook في المحرر ، والتي يتم تنزيلها من خادم ويب يتم التحكم فيه بواسطة المهاجم (يتم فتح الملفات الخارجية ذات الامتداد ".ipynb" بدون تأكيدات إضافية في وضع "isTrusted" ، والذي يسمح بمعالجة "الأمر:").

  • تم التعرف على ثغرة أمنية في محرر نصوص GNU Emacs (CVE-2022-45939) ، والذي يسمح بتنظيم تنفيذ الأوامر عند فتح ملف برمز ، من خلال استبدال الأحرف الخاصة في الاسم المعالج باستخدام مجموعة أدوات ctags.
  • تم التعرف على ثغرة أمنية (CVE-2022-31097) في النظام الأساسي لتصور البيانات مفتوح المصدر Grafana والذي يمكن أن يسمح بتنفيذ تعليمات JavaScript البرمجية عند عرض إشعار من خلال نظام تنبيه Grafana. يمكن للمهاجم الذي يتمتع بحقوق المحرر إعداد ارتباط مصمم خصيصًا والوصول إلى واجهة Grafana باستخدام حقوق المسؤول إذا نقر المسؤول على هذا الارتباط. تم إصلاح الثغرة الأمنية في إصدارات Grafana 9.2.7 و 9.3.0 و 9.0.3 و 8.5.9 و 8.4.10 و 8.3.10.
  • الثغرة الأمنية (CVE-2022-46146) في مكتبة مجموعة أدوات المصدر المستخدمة لإنشاء مصدري المقاييس لبروميثيوس. تسمح لك المشكلة بتجاوز المصادقة الأساسية.
  • الثغرة الأمنية (CVE-2022-44635) في منصة الخدمات المالية Apache Fineract التي تسمح لمستخدم غير مصادق بتنفيذ التعليمات البرمجية عن بُعد. سبب المشكلة هو عدم وجود الهروب المناسب لأحرف ".." في المسارات التي يعالجها المكون لتحميل الملفات. تم إصلاح الثغرة الأمنية في إصدارات Apache Fineract 1.7.1 و 1.8.1.
  • ثغرة (CVE-2022-46366) في إطار عمل Apache Tapestry Java تسمح بتنفيذ التعليمات البرمجية المخصصة عند إلغاء تسلسل البيانات المنسقة بشكل خاص. تظهر المشكلة فقط في الفرع القديم من Apache Tapestry 3.x ، والذي لم يعد مدعومًا.
  • نقاط الضعف في موفري Apache Airflow إلى Hive (CVE-2022-41131) و Pinot (CVE-2022-38649) و Pig (CVE-2022-40189) و Spark (CVE-2022-40954) ، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد من خلال التحميل التعسفي الملفات أو استبدال الأوامر في سياق تنفيذ المهمة دون الحصول على حق الوصول للكتابة إلى ملفات DAG.

المصدر: opennet.ru

إضافة تعليق