Roinnt leochaileachtaí a aithníodh le déanaí:
- Aithníodh leochaileacht ríthábhachtach (CVE-2022-41034) i gCód Stiúideo Amharc (Cód VS) a cheadaíonn forghníomhú cód nuair a osclaíonn úsáideoir nasc a d'ullmhaigh ionsaitheoir. Is féidir an cód a fhorghníomhú ar an meaisín Cód VS nó ar aon mheaisín eile atá nasctha le Cód VS ag baint úsáide as an ngné Cianfhorbairt. Cuireann an fhadhb an baol is mó d’úsáideoirí an leagan gréasáin de VS Code agus eagarthóirí gréasáin atá bunaithe air, lena n-áirítear GitHub Codespaces agus github.dev.
Is é is cúis leis an leochaileacht ná an cumas naisc seirbhíse “ordú:” a phróiseáil chun fuinneog a oscailt le teirminéal agus orduithe blaoscanna treallach a fhorghníomhú inti, agus doiciméid saindeartha á bpróiseáil i bhformáid Leabhar Nótaí Jypiter san eagarthóir, arna íoslódáil ó fhreastalaí gréasáin rialaithe ag an ionsaitheoir (osclaítear comhaid sheachtracha leis an síneadh " .ipynb" gan dearbhuithe breise sa mhodh "isTrusted", a cheadaíonn próiseáil "ordú:").
- Sainaithníodh leochaileacht in eagarthóir téacs GNU Emacs (CVE-2022-45939), a cheadaíonn forghníomhú orduithe a eagrú nuair a bhíonn comhad le cód á oscailt, trí charachtair speisialta a chur in ionad an ainm a phróiseáiltear ag baint úsáide as an bhfoireann uirlisí ctags.
- Aithníodh leochaileacht (CVE-2022-31097) in ardán léirshamhlaithe sonraí foinse oscailte Grafana a d’fhéadfadh ligean do chód JavaScript a fhorghníomhú nuair a thaispeánfar fógra trí chóras Foláirimh Grafana. Is féidir le hionsaí a bhfuil cearta Eagarthóireachta aige nasc saindeartha a ullmhú agus rochtain a fháil ar chomhéadan Grafana le cearta riarthóra má chliceálann an riarthóir ar an nasc seo. Tá an leochaileacht socraithe in eisiúintí Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 agus 8.3.10.
- Leochaileacht (CVE-2022-46146) sa leabharlann onnmhaireora-uirlisí a úsáidtear chun onnmhaireoirí méadrachta a chruthú do Prometheus. Ligeann an fhadhb duit fíordheimhniú bunúsach a sheachbhóthar.
- Leochaileacht (CVE-2022-44635) in ardán seirbhísí airgeadais Apache Fineract a ligeann d'úsáideoir neamhfhíordheimhnithe forghníomhú cód iargúlta a bhaint amach. Is é an fhadhb is cúis leis an easpa éalú ceart de na carachtair ".." sna cosáin a phróiseáil ag an chomhpháirt chun comhaid a luchtú. Socraíodh an leochaileacht in eisiúintí Apache Fineract 1.7.1 agus 1.8.1.
- Leochaileacht (CVE-2022-46366) i gcreat Apache Taipéis Java a cheadaíonn cód saincheaptha a fhorghníomhú nuair a dhéantar sonraí formáidithe go speisialta a dhíscriosú. Is cosúil nach bhfuil an fhadhb ach sa sean-bhrainse de Apache Tapestry 3.x, nach dtacaítear leis a thuilleadh.
- Leochaileachtaí i soláthraithe Apache Airflow go Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Muc (CVE-2022-40189) agus Spark (CVE-2022-40954), as a dtiocfaidh forghníomhú cód iargúlta trí luchtú treallach comhaid nó ionadú orduithe i gcomhthéacs post a chur i gcrích gan rochtain scríofa a bheith agat ar chomhaid DAG.
Foinse: oscailtenet.ru