Chaidh grunn so-leòntachd a chomharrachadh o chionn ghoirid:
- Chaidh so-leòntachd èiginneach (CVE-2022-41034) a chomharrachadh ann an Còd Stiùidio Lèirsinneach (Còd VS) a leigeas le còd a chuir an gnìomh nuair a dh’ fhosglas neach-cleachdaidh ceangal a dheasaich neach-ionnsaigh. Faodar an còd a chuir gu bàs an dàrna cuid air inneal Còd VS no air inneal sam bith eile ceangailte ri Còd VS a’ cleachdadh am feart Leasachadh Iomallach. Tha an duilgheadas na chunnart as motha do luchd-cleachdaidh an tionndadh lìn de Chòd VS agus luchd-deasachaidh lìn stèidhichte air, a 'gabhail a-steach GitHub Codespaces agus github.dev.
Tha an so-leòntachd air adhbhrachadh leis a’ chomas air ceanglaichean seirbheis “àithne:” a phròiseasadh gus uinneag fhosgladh le inneal-crìochnachaidh agus òrdughan slige neo-riaghailteach a chuir an gnìomh innte, nuair a bhios tu a’ giullachd sgrìobhainnean a chaidh an dealbhadh gu sònraichte ann an cruth leabhar notaichean Jypiter san deasaiche, air an luchdachadh sìos bho fhrithealaiche lìn fo smachd leis an neach-ionnsaigh (tha faidhlichean taobh a-muigh leis an leudachadh “.ipynb” gun dearbhadh a bharrachd air am fosgladh sa mhodh “isTrusted”, a leigeas le “command:" a ghiullachd.
- Chaidh so-leòntachd a chomharrachadh ann an deasaiche teacsa GNU Emacs (CVE-2022-45939), a leigeas le bhith a’ cur an gnìomh òrdughan nuair a dh’ fhosglas tu faidhle le còd, tro bhith a’ cur an àite charactaran sònraichte san ainm a chaidh a phròiseasadh a’ cleachdadh an inneal ctags.
- Chaidh so-leòntachd (CVE-2022-31097) a chomharrachadh ann an àrd-ùrlar fradharc dàta stòr fosgailte Grafana a dh’ fhaodadh còd JavaScript a chuir gu bàs nuair a thèid fios a thaisbeanadh tro shiostam Grafana Alerting. Faodaidh neach-ionnsaigh le còraichean neach-deasachaidh ceangal a chaidh a dhealbhadh gu sònraichte ullachadh agus faighinn gu eadar-aghaidh Grafana le còraichean rianadair ma bhriogas an rianaire air a’ cheangal seo. Chaidh an so-leòntachd a shuidheachadh ann an fiosan Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 agus 8.3.10.
- So-leòntachd (CVE-2022-46146) anns an leabharlann inneal às-mhalairt a chaidh a chleachdadh gus às-mhalairt metrics a chruthachadh airson Prometheus. Leigidh an duilgheadas leat faighinn seachad air dearbhadh bunaiteach.
- So-leòntachd (CVE-2022-44635) ann an àrd-ùrlar seirbheisean ionmhais Apache Fineract a leigeas le neach-cleachdaidh gun dearbhadh coileanadh còd iomallach a choileanadh. Tha an duilgheadas air adhbhrachadh leis an dìth teicheadh ceart de na caractaran “..” anns na slighean a tha am pàirt airson faidhlichean a luchdachadh. Chaidh an so-leòntachd a shuidheachadh ann an fiosan Apache Fineract 1.7.1 agus 1.8.1.
- So-leòntachd (CVE-2022-46366) ann am frèam Apache Grèis-bhrat Java a leigeas le còd àbhaisteach a chuir gu bàs nuair a thèid dàta ann an cruth sònraichte a dhì-shreathachadh. Chan eil an duilgheadas a 'nochdadh ach anns an t-seann mheur de Apache Tapestry 3.x, nach eil a' faighinn taic tuilleadh.
- So-leòntachd ann an solaraichean Apache Airflow gu Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Muc (CVE-2022-40189) agus Spark (CVE-2022-40954), a ’leantainn gu coileanadh còd iomallach tro luchdachadh neo-riaghailteach faidhlichean no ionadachadh òrdughan ann an co-theacsa coileanadh obrach gun a bhith a’ sgrìobhadh cothrom air faidhlichean DAG.
Source: fosgailtenet.ru