ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Mga kahuyangan sa VS Code, Grafana, GNU Emacs ug Apache Fineract

Mga kahuyangan sa VS Code, Grafana, GNU Emacs ug Apache Fineract

Pipila ka bag-o nga giila nga mga kahuyangan:

  • Ang usa ka kritikal nga kahuyangan (CVE-2022-41034) nahibal-an sa Visual Studio Code (VS Code) nga nagtugot sa pagpatuman sa code kung ang usa ka tiggamit magbukas sa usa ka link nga giandam sa usa ka tig-atake. Ang code mahimong ipatuman bisan sa VS Code machine o sa bisan unsang ubang makina nga konektado sa VS Code gamit ang Remote Development feature. Ang problema naghatag sa labing dako nga peligro sa mga tiggamit sa web nga bersyon sa VS Code ug mga editor sa web base niini, lakip ang GitHub Codespaces ug github.dev.

    Ang pagkahuyang tungod sa abilidad sa pagproseso sa "sugo:" mga link sa serbisyo aron maablihan ang usa ka bintana nga adunay usa ka terminal ug ipatuman ang arbitraryong mga command sa shell niini, kung giproseso ang espesyal nga gidisenyo nga mga dokumento sa format sa Jypiter Notebook sa editor, gi-download gikan sa usa ka kontrolado nga web server. pinaagi sa tig-atake (mga eksternal nga file nga adunay extension nga " .ipynb" nga wala’y dugang nga pagkumpirma giablihan sa "isTrusted" mode, nga nagtugot sa pagproseso sa "command:").

  • Nailhan ang usa ka kahuyang sa text editor sa GNU Emacs (CVE-2022-45939), nga nagtugot sa pag-organisar sa pagpatuman sa mga sugo sa dihang magbukas sa file nga adunay code, pinaagi sa pag-ilis sa mga espesyal nga karakter sa ngalan nga giproseso gamit ang ctags toolkit.
  • Usa ka kahuyang (CVE-2022-31097) ang giila sa Grafana open source data visualization platform nga makatugot sa JavaScript code nga ipatuman kung ang usa ka pahibalo gipakita pinaagi sa Grafana Alerting system. Ang usa ka tig-atake nga adunay mga katungod sa Editor mahimong mag-andam usa ka espesyal nga gidisenyo nga link ug makakuha og access sa interface sa Grafana nga adunay mga katungod sa tagdumala kung ang tagdumala mag-klik niini nga link. Ang pagkahuyang naayo sa Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 ug 8.3.10 nga gipagawas.
  • Vulnerability (CVE-2022-46146) sa exporter-toolkit library nga gigamit sa paghimo ug metrics exporters para sa Prometheus. Ang problema nagtugot kanimo sa paglaktaw sa batakang panghimatuud.
  • Vulnerability (CVE-2022-44635) sa Apache Fineract nga pinansyal nga mga serbisyo nga plataporma nga nagtugot sa usa ka dili tinuod nga tiggamit sa pagkab-ot sa remote code execution. Ang problema tungod sa kakulang sa tukma nga pag-ikyas sa ".." nga mga karakter sa mga agianan nga giproseso sa sangkap alang sa pagkarga sa mga file. Ang pagkahuyang giayo sa Apache Fineract 1.7.1 ug 1.8.1 nga gipagawas.
  • Usa ka vulnerability (CVE-2022-46366) sa Apache Tapestry Java framework nga nagtugot sa custom code nga ipatuman kung ang espesyal nga pormat nga datos kay deserialized. Ang problema makita lamang sa daan nga sanga sa Apache Tapestry 3.x, nga wala na gisuportahan.
  • Ang mga kahuyangan sa Apache Airflow providers sa Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Baboy (CVE-2022-40189) ug Spark (CVE-2022-40954), padulong sa remote code execution pinaagi sa loading arbitrary file o command substitution sa konteksto sa pagpatuman sa trabaho nga walay access sa pagsulat sa DAG files.

Source: opennet.ru

Idugang sa usa ka comment