Жақында анықталған бірнеше осалдықтар:
- Visual Studio Code (VS Code) редакторында маңызды осалдық (CVE-2022-41034) анықталды, ол пайдаланушы шабуылдаушы дайындаған сілтемені ашқан кезде кодты орындауға мүмкіндік береді. Кодты VS коды бар компьютерде де, «Қашықтан әзірлеу» функциясы арқылы VS кодына қосылған кез келген басқа компьютерлерде де орындауға болады. Мәселе VS Code веб-нұсқасын және оған негізделген веб-редакторларды, соның ішінде GitHub Codespaces және github.dev пайдаланушыларына ең үлкен қауіп төндіреді.
Осалдық басқарылатын веб-серверден жүктелген Jypiter Notebook пішіміндегі арнайы әзірленген құжаттарды редакторда өңдеу кезінде терминалы бар терезені ашу және ондағы ерікті қабық командаларын орындау үшін «пәрмен:» сервистік сілтемелерін өңдеу мүмкіндігінен туындайды. шабуылдаушы (қосымша растаусыз « .ipynb» кеңейтімі бар сыртқы файлдар «пәрменді:» өңдеуге мүмкіндік беретін «isTrusted» режимінде ашылады).
- GNU Emacs мәтіндік редакторында осалдық (CVE-2022-45939) анықталды, ол ctags құралдар жинағы арқылы өңделген атаудағы арнайы таңбаларды ауыстыру арқылы кодпен файлды ашу кезінде пәрмендерді орындауға мүмкіндік береді.
- Grafana Alerting жүйесі арқылы хабарламаны көрсету кезінде JavaScript кодын орындауға мүмкіндік беретін Grafana ашық деректерді визуализациялау платформасында осалдық (CVE-2022-31097) анықталды. Редактор құқығы бар шабуылдаушы арнайы әзірленген сілтемені дайындап, әкімші осы сілтемені басатын болса, әкімші құқығы бар Grafana интерфейсіне қол жеткізе алады. Осалдық Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 және 8.3.10 шығарылымдарында қарастырылған.
- Экспорттаушы-құралдар жинағы кітапханасындағы осалдық (CVE-2022-46146) Prometheus үшін метриканы экспорттау модульдерін жасау үшін пайдаланылады. Мәселе негізгі аутентификацияны айналып өтуге мүмкіндік береді.
- Apache Fineract қаржылық қызметтерін жасауға арналған платформадағы осалдық (CVE-2022-44635) аутентификацияланбаған пайдаланушыға қашықтан кодты орындауға мүмкіндік береді. Мәселе файлдарды жүктеуге арналған құрамдас өңдейтін жолдардағы «..» таңбаларының дұрыс шығуының болмауынан туындайды. Осалдық Apache Fineract 1.7.1 және 1.8.1 шығарылымдарында түзетілді.
- Арнайы пішімделген деректер сериядан шығарылған кезде кодты орындауға мүмкіндік беретін Apache Tapestry Java жүйесіндегі осалдық (CVE-2022-46366). Мәселе тек бұдан былай қолдау көрсетілмейтін Apache Tapestry 3.x ескі тармағында ғана пайда болады.
- Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) және Spark (CVE-2022-40954) үшін Apache Airflow провайдерлеріндегі осалдықтар жүктеу арқылы қашықтан кодты орындауға әкеледі. DAG файлдарына жазу рұқсатынсыз тапсырманы орындау контекстінде ерікті файлдар немесе пәрменді ауыстыру.
Ақпарат көзі: opennet.ru