Duela gutxi identifikatutako hainbat ahultasun:
- Visual Studio Coden (VS Code) ahultasun kritiko bat (CVE-2022-41034) identifikatu da, erabiltzaileak erasotzaile batek prestatutako esteka bat irekitzen duenean kodea exekutatzeko aukera ematen duena. Kodea VS Code makinan edo VS Code-ra konektatuta dagoen beste edozein makinetan exekutatu daiteke Urruneko Garapena eginbidea erabiliz. Arazoak arrisku handiena dakar VS Coderen web bertsioaren erabiltzaileentzat eta bertan oinarritutako web editoreentzat, GitHub Codespaces eta github.dev barne.
Ahultasuna "komandoa:" zerbitzu estekak prozesatzeko gaitasunak eragiten du terminal batekin leiho bat ireki eta bertan shell komando arbitrarioak exekutatzeko, editorean Jypiter Notebook formatuan bereziki diseinatutako dokumentuak prozesatzen direnean, kontrolatutako web zerbitzari batetik deskargatuta. erasotzaileak (".ipynb" luzapena duten kanpoko fitxategiak berrespen gehigarririk gabe "isTrusted" moduan irekitzen dira, "komandoa:" prozesatzeko aukera ematen duena).
- GNU Emacs testu-editorean (CVE-2022-45939) ahultasun bat identifikatu da, fitxategi bat kodearekin irekitzean komandoen exekuzioa antolatzea ahalbidetzen duena, ctags tresna-tresnaren bidez prozesatutako izenean karaktere bereziak ordezkatuz.
- Grafana kode irekiko datuak bistaratzeko plataforman ahultasun bat (CVE-2022-31097) identifikatu da, eta horrek JavaScript kodea exekutatu ahal izango du Grafana Alerta sistemaren bidez jakinarazpen bat bistaratzen denean. Editore-eskubideak dituen erasotzaile batek bereziki diseinatutako esteka bat prestatu dezake eta administratzaile-eskubideekin Grafana interfazera sarbidea lor dezake administratzaileak esteka honetan klik egiten badu. Ahultasuna Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 eta 8.3.10 bertsioetan konpondu da.
- Ahultasuna (CVE-2022-46146) Prometheus-en metrika-esportatzaileak sortzeko erabiltzen den esportatzaile-tresna-liburutegian. Arazoak oinarrizko autentifikazioa saihesteko aukera ematen du.
- Ahultasuna (CVE-2022-44635) Apache Fineract finantza-zerbitzuen plataforman, autentifikatu gabeko erabiltzaileari urruneko kodea exekutatzeko aukera ematen diona. Fitxategiak kargatzeko osagaiak prozesatutako bideetan ".." karaktereen ihes egokia ez izateak sortzen du arazoa. Ahultasuna Apache Fineract 1.7.1 eta 1.8.1 bertsioetan konpondu zen.
- Ahultasun bat (CVE-2022-46366) Apache Tapestry Java esparruan, formateatutako datuak deserializatzen direnean kode pertsonalizatua exekutatzea ahalbidetzen duena. Arazoa jada onartzen ez den Apache Tapestry 3.x-en adar zaharrean bakarrik agertzen da.
- Apache Airflow hornitzaileen ahultasunak Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) eta Spark (CVE-2022-40954), urruneko kodea exekutatzeko modu arbitrarioan kargatuz. fitxategiak edo komandoak ordezkatzea lana exekutatzeko testuinguruan, DAG fitxategietarako idazketa-sarbiderik izan gabe.
Iturria: opennet.ru