Уязвимости във VS Code, Grafana, GNU Emacs и Apache Fineract

Няколко наскоро идентифицирани уязвимости:

• Беше идентифицирана критична уязвимост (CVE-2022-41034) в редактора на Visual Studio Code (VS Code), която позволява изпълнение на код, когато потребител отвори връзка, подготвена от хакер. Кодът може да бъде изпълнен или на машината на VS Code, или на всяка друга машина, свързана с VS Code, използвайки функцията за отдалечено разработване. Проблемът представлява най-голяма опасност за потребителите на уеб версията на VS Code и базираните на нея уеб редактори, включително GitHub Codespaces и github.dev.

  Уязвимостта е причинена от способността да се обработват връзки към услугата „команда:“ за отваряне на прозорец с терминал и изпълнение на произволни команди в него, когато се обработват специално проектирани документи във формат Jypiter Notebook в редактора, изтеглени от контролиран уеб сървър от нападателя (външни файлове с разширение „.ipynb“ без допълнителни потвърждения се отварят в режим „isTrusted“, което позволява обработката на „command:“).

• Беше идентифицирана уязвимост в текстовия редактор на GNU Emacs (CVE-2022-45939), който позволява организиране на изпълнението на команди при отваряне на файл с код, чрез заместване на специални знаци в името, обработено с помощта на инструментариума ctags.
• Беше идентифицирана уязвимост (CVE-2022-31097) в платформата за визуализация на данни с отворен код Grafana, която може да позволи изпълнението на JavaScript код, когато се показва известие чрез системата за предупреждение Grafana. Нападател с права на редактор може да подготви специално проектирана връзка и да получи достъп до интерфейса на Grafana с администраторски права, ако администраторът кликне върху тази връзка. Уязвимостта е коригирана във версии на Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
• Уязвимост (CVE-2022-46146) в библиотеката с инструменти за експортиране, използвана за създаване на експортери на показатели за Prometheus. Проблемът ви позволява да заобиколите основното удостоверяване.
• Уязвимост (CVE-2022-44635) в платформата за финансови услуги Apache Fineract, която позволява на неупълномощен потребител да постигне отдалечено изпълнение на код. Проблемът е причинен от липсата на правилно екраниране на знаците ".." в пътищата, обработвани от компонента за зареждане на файлове. Уязвимостта беше коригирана във версии на Apache Fineract 1.7.1 и 1.8.1.
• Уязвимост (CVE-2022-46366) в рамката на Apache Tapestry Java, която позволява изпълнението на персонализиран код, когато специално форматираните данни са десериализирани. Проблемът се появява само в стария клон на Apache Tapestry 3.x, който вече не се поддържа.
• Уязвимости в доставчиците на Apache Airflow към Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) и Spark (CVE-2022-40954), водещи до дистанционно изпълнение на код чрез произволно зареждане файлове или заместване на команда в контекста на изпълнение на задание, без да имате достъп за запис до DAG файлове.

Източник: opennet.ru