Жақында анықталған бірнеше осалдықтар:
- Visual Studio Code (VS Code) редакторында маңызды осалдық (CVE-2022-41034) анықталды, ол пайдаланушы шабуылдаушы дайындаған сілтемені ашқан кезде кодты орындауға мүмкіндік береді. Кодты VS коды бар компьютерде де, «Қашықтан әзірлеу» функциясы арқылы VS кодына қосылған кез келген басқа компьютерлерде де орындауға болады. Мәселе VS Code веб-нұсқасын және оған негізделген веб-редакторларды, соның ішінде GitHub Codespaces және github.dev пайдаланушыларына ең үлкен қауіп төндіреді.
Осалдық редактордан жүктелген Jypiter Notebook форматындағы арнайы пішімделген құжаттарды өңдеу кезінде терминал терезесін ашу және онда кез келген қабық командаларын орындау үшін "command:" қызмет сілтемелерін өңдеу мүмкіндігінен туындайды. веб-серверлер, шабуылдаушы басқарады (".ipynb" кеңейтімі бар сыртқы файлдар "isTrusted" режимінде қосымша растаусыз ашылады, бұл "command:" өңдеуіне мүмкіндік береді).
- GNU Emacs мәтіндік редакторында осалдық (CVE-2022-45939) анықталды, ол ctags құралдар жинағы арқылы өңделген атаудағы арнайы таңбаларды ауыстыру арқылы кодпен файлды ашу кезінде пәрмендерді орындауға мүмкіндік береді.
- Grafana Alerting жүйесі арқылы хабарламаны көрсету кезінде JavaScript кодын орындауға мүмкіндік беретін Grafana ашық деректерді визуализациялау платформасында осалдық (CVE-2022-31097) анықталды. Редактор құқығы бар шабуылдаушы арнайы әзірленген сілтемені дайындап, әкімші осы сілтемені басатын болса, әкімші құқығы бар Grafana интерфейсіне қол жеткізе алады. Осалдық Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 және 8.3.10 шығарылымдарында қарастырылған.
- Экспорттаушы-құралдар жинағы кітапханасындағы осалдық (CVE-2022-46146) Prometheus үшін метриканы экспорттау модульдерін жасау үшін пайдаланылады. Мәселе негізгі аутентификацияны айналып өтуге мүмкіндік береді.
- Apache Fineract қаржылық қызметтерін жасауға арналған платформадағы осалдық (CVE-2022-44635) аутентификацияланбаған пайдаланушыға қашықтан кодты орындауға мүмкіндік береді. Мәселе файлдарды жүктеуге арналған құрамдас өңдейтін жолдардағы «..» таңбаларының дұрыс шығуының болмауынан туындайды. Осалдық Apache Fineract 1.7.1 және 1.8.1 шығарылымдарында түзетілді.
- Арнайы пішімделген деректер сериядан шығарылған кезде кодты орындауға мүмкіндік беретін Apache Tapestry Java жүйесіндегі осалдық (CVE-2022-46366). Мәселе тек бұдан былай қолдау көрсетілмейтін Apache Tapestry 3.x ескі тармағында ғана пайда болады.
- Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) және Spark (CVE-2022-40954) үшін Apache Airflow провайдерлеріндегі осалдықтар жүктеу арқылы қашықтан кодты орындауға әкеледі. DAG файлдарына жазу рұқсатынсыз тапсырманы орындау контекстінде ерікті файлдар немесе пәрменді ауыстыру.
Ақпарат көзі: opennet.ru
