ProHoster > Blog > nouvèl sou entènèt > Vilnerabilite nan VS Code, Grafana, GNU Emacs ak Apache Fineract

Vilnerabilite nan VS Code, Grafana, GNU Emacs ak Apache Fineract

Plizyè vilnerabilite ki fèk idantifye:

  • Yo te idantifye yon vilnerabilite kritik (CVE-2022-41034) nan Visual Studio Code (VS Code) ki pèmèt ekzekisyon kòd lè yon itilizatè ouvri yon lyen ki prepare pa yon atakè. Kòd la ka egzekite swa sou machin nan VS Code oswa sou nenpòt lòt machin ki konekte nan VS Code lè l sèvi avèk karakteristik nan Devlopman Remote. Pwoblèm nan poze pi gwo danje pou itilizatè vèsyon wèb VS Code ak editè entènèt ki baze sou li, tankou GitHub Codespaces ak github.dev.

    Se vilnerabilite a ki te koze pa kapasite nan pwosesis "kòmand:" lyen sèvis yo louvri yon fenèt ak yon tèminal epi egzekite kòmandman koki abitrè nan li, lè yo trete dokiman ki fèt espesyalman nan fòma Jypiter Kaye nan editè a, telechaje soti nan yon sèvè entènèt kontwole. pa atakè a (fichye ekstèn ak ekstansyon ".ipynb" san konfimasyon adisyonèl yo louvri nan mòd "isTrusted", ki pèmèt pwosesis "kòmand:").

  • Yo te idantifye yon vilnerabilite nan editè tèks GNU Emacs (CVE-2022-45939), ki pèmèt òganize ekzekisyon kòmandman yo lè w ap louvri yon dosye ak kòd, atravè sibstitisyon karaktè espesyal nan non an trete lè l sèvi avèk zouti ctags la.
  • Yo te idantifye yon vilnerabilite (CVE-2022-31097) nan platfòm vizyalizasyon done sous louvri Grafana ki ta ka pèmèt kòd JavaScript dwe egzekite lè yon notifikasyon parèt atravè sistèm Alèt Grafana. Yon atakè ki gen dwa Editè ka prepare yon lyen ki fèt espesyalman epi jwenn aksè nan koòdone Grafana ak dwa administratè si administratè a klike sou lyen sa a. Vilnerabilite a te fiks nan Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 ak 8.3.10 degaje.
  • Vilnerabilite (CVE-2022-46146) nan bibliyotèk ekspòtatè-zouti yo itilize pou kreye ekspòtatè mezi pou Prometheus. Pwoblèm nan pèmèt ou kontoune otantifikasyon debaz.
  • Vilnerabilite (CVE-2022-44635) nan platfòm sèvis finansye Apache Fineract ki pèmèt yon itilizatè ki pa otantifye reyalize ekzekisyon kòd aleka. Se pwoblèm nan ki te koze pa mank de chape apwopriye nan ".." karaktè yo nan chemen yo trete pa eleman nan pou chaje dosye. Vilnerabilite a te fiks nan Apache Fineract 1.7.1 ak 1.8.1 degaje.
  • Yon vilnerabilite (CVE-2022-46366) nan kad Apache Tapestry Java ki pèmèt kòd koutim yo dwe egzekite lè done espesyal fòma yo deserialize. Pwoblèm nan parèt sèlman nan ansyen branch Apache Tapestry 3.x, ki pa sipòte ankò.
  • Vilnerabilite nan founisè Apache Airflow nan Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) ak Spark (CVE-2022-40954), ki mennen ale nan ekzekisyon kòd aleka atravè chaj abitrè. dosye oswa sibstitisyon kòmand nan yon kontèks ekzekisyon travay san yo pa gen aksè ekri nan dosye DAG.

Sous: opennet.ru

Add nouvo kòmantè