Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract

Несколько недавно выявленных уязвимостей:

• В редакторе Visual Studio Code (VS Code) выявлена критическая уязвимость (CVE-2022-41034), позволяющая организовать выполнение кода при открытии пользователем ссылки, подготовленной атакующим. Код может быть выполнен как на компьютере с VS Code, так и на любых других компьютерах, подключённых к VS Code при помощи функции «Remote Development». Проблема представляет наибольшую опасность для пользователей web-версии VS Code и web-редакторов на её основе, включая GitHub Codespaces и github.dev.

  Уязвимость вызвана возможностью обработки служебных ссылок «command:» для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением «.ipynb» без дополнительных подтверждений открываются в режиме «isTrusted», допускающем обработку «command:»).

• В текстовом редакторе GNU Emacs выявлена уязвимость (CVE-2022-45939), позволяющая организовать выполнение команд при открытии файла с кодом, через подстановку спецсимволов в имени, обрабатываемом при помощи инструментария ctags.
• В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2022-31097), позволяющая добиться выполнения JavaScript-кода при выводе уведомления через систему Grafana Alerting. Атакующий с правами редактора (Editor) может подготовить специально оформленную ссылку и получить доступ к интерфейсу Grafana с правами администратора в случае перехода администратора по этой ссылке. Уязвимость устранена в выпусках Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
• Уязвимость (CVE-2022-46146) в библиотеке exporter-toolkit, используемой для создания модулей экспорта метрик для Prometheus. Проблема позволяет обойти basic-аутентификацию.
• Уязвимость (CVE-2022-44635) в платформе для создания финансовых сервисов Apache Fineract, позволяющая неаутентифицированному пользователю добиться удалённого выполнения кода. Проблема вызвана отсутствием должного экранирования символов «..» в путях, обрабатываемых компонентом для загрузки файлов. Уязвимость устранена в выпусках Apache Fineract 1.7.1 и 1.8.1.
• Уязвимость (CVE-2022-46366) в Java-фреймворке Apache Tapestry, позволяющая добиться выполнения своего кода при десериализации специально оформленных данных. Проблема проявляется только в старой ветке Apache Tapestry 3.x, которая уже не поддерживается.
• Уязвимости в провайдерах Apache Airflow к Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) и Spark (CVE-2022-40954), приводящие к удалённому выполнению кода через загрузку произвольных файлов или подстановку команд в контексте выполнения заданий, не имея доступа на запись к DAG-файлам.

Источник: opennet.ru