ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Kerentanan ing Kode VS, Grafana, GNU Emacs lan Apache Fineract

Kerentanan ing Kode VS, Grafana, GNU Emacs lan Apache Fineract

Sawetara kerentanan sing bubar diidentifikasi:

  • Kerentanan kritis (CVE-2022-41034) wis diidentifikasi ing editor Visual Studio Code (VS Code), sing ngidini eksekusi kode nalika pangguna mbukak link sing disiapake dening panyerang. Kode kasebut bisa dieksekusi ing komputer sing nganggo VS Code lan ing komputer liyane sing disambungake menyang VS Code nggunakake fungsi "Remote Development". Masalah kasebut nyebabake ancaman paling gedhe kanggo pangguna versi web VS Code lan editor web adhedhasar, kalebu GitHub Codespaces lan github.dev.

    Kerentanan kasebut disebabake kemampuan kanggo ngolah tautan layanan "perintah:" kanggo mbukak jendhela kanthi terminal lan nglakokake perintah cangkang sing sewenang-wenang, nalika ngolah ing editor dokumen sing dirancang khusus ing format Jypiter Notebook sing diundhuh saka server web sing dikontrol dening penyerang (file eksternal kanthi ekstensi " .ipynb" tanpa konfirmasi tambahan dibukak ing mode "isTrusted", sing ngidini pangolahan "perintah:").

  • Kerentanan (CVE-2022-45939) wis diidentifikasi ing editor teks GNU Emacs, sing ngidini printah bisa dieksekusi nalika mbukak file kanthi kode, liwat substitusi karakter khusus ing jeneng sing diproses nggunakake toolkit ctags.
  • Kerentanan (CVE-2022-31097) wis diidentifikasi ing platform visualisasi data mbukak Grafana, sing ngidini eksekusi kode JavaScript nalika nampilake kabar liwat sistem Alerting Grafana. Penyerang kanthi hak Editor bisa nyiyapake link sing dirancang khusus lan entuk akses menyang antarmuka Grafana kanthi hak administrator yen administrator ngeklik link iki. Kerentanan wis ditangani ing rilis Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 lan 8.3.10.
  • Kerentanan (CVE-2022-46146) ing perpustakaan eksportir-toolkit sing digunakake kanggo nggawe modul ekspor metrik kanggo Prometheus. Masalah kasebut ngidini sampeyan ngliwati otentikasi dhasar.
  • Kerentanan (CVE-2022-44635) ing platform kanggo nggawe layanan finansial Apache Fineract, sing ngidini pangguna sing ora sah kanggo entuk eksekusi kode remot. Masalah kasebut disebabake ora bisa lolos saka karakter ".." ing dalan sing diproses dening komponen kanggo mbukak file. Kerentanan kasebut diatasi ing Apache Fineract 1.7.1 lan 1.8.1 rilis.
  • Kerentanan (CVE-2022-46366) ing kerangka Apache Tapestry Java sing ngidini kode dieksekusi nalika data sing diformat khusus deserialized. Masalah kasebut mung katon ing cabang lawas saka Apache Tapestry 3.x, sing ora didhukung maneh.
  • Kerentanan ing panyedhiya Apache Airflow kanggo Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Babi (CVE-2022-40189) lan Spark (CVE-2022-40954), sing ndadΓ©kakΓ© eksekusi kode remot liwat loading file kasepakatan utawa substitusi printah ing konteks eksekusi proyek tanpa gadhah akses nulis kanggo file DAG.

Source: opennet.ru

Add a comment