Gelek kêmasiyên vê dawiyê hatine nas kirin:
- Di edîtorê Visual Studio Code (VS Code) de qelsiyek krîtîk (CVE-2022-41034) hate nas kirin, ku destûrê dide darvekirina kodê dema ku bikarhêner girêdanek ku ji hêla êrîşkar ve hatî amadekirin veke. Kod hem li ser komputera ku VS Code dixebite hem jî li ser komputerên din ên ku bi VS Code ve girêdayî ye bi karanîna fonksiyona "Pêşveçûna Dûr" ve dikare were darve kirin. Pirsgirêk ji bo bikarhênerên guhertoya malperê ya VS Code û edîtorên malperê yên li ser bingeha wê, di nav de GitHub Codespaces û github.dev, xetera herî mezin çêdike.
Zelalbûn ji ber jêhatîbûna pêvajokirina girêdanên karûbarê "ferman:" vekirina pencereyek bi termînalê ve û pêkanîna fermanên şêlê kêfî tê de ye, dema ku di edîtorê de belgeyên bi taybetî hatine sêwirandin di forma Jypiter Notebook-ê de ku ji serverek webê ya ku ji hêla kontrolkirî ve hatî dakêşandin têne dakêşandin. êrîşkar (pelên derveyî yên bi dirêjkirina " .ipynb" bêyî piştrastkirinên zêde di moda "isTrusted" de têne vekirin, ku destûrê dide pêvajokirina "ferman:").
- Di edîtora nivîsê ya GNU Emacs de qelsiyek (CVE-2022-45939) hate nas kirin, ku dihêle ferman di dema vekirina pelek bi kodê de, bi guheztina karakterên taybetî yên di navên ku bi karanîna amûra ctags ve hatî hilberandin, bêne darve kirin.
- Di platforma dîtbarîkirina daneya vekirî Grafana de qelsiyek (CVE-2022-31097) hate nas kirin, ku destûrê dide darvekirina koda JavaScript-ê dema ku agahdariyek bi pergala Grafana Alerting nîşan dide. Êrîşkarek bi mafên Edîtor dikare lînka taybetî ya sêwirandî amade bike û ger rêvebir li ser vê lînkê bitikîne bigihîje navbeynkariya Grafana ya bi mafên rêvebir. Zehfbûn di weşanên Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 û 8.3.10 de hatî çareser kirin.
- Zehfek (CVE-2022-46146) di pirtûkxaneya derhêner-toolkit de ji bo afirandina modulên hinardekirina metrîkan ji bo Prometheus tê bikar anîn. Pirsgirêk destûrê dide te ku hûn rastnivîsandina bingehîn derbas bikin.
- Zehfek (CVE-2022-44635) di platformê de ji bo afirandina karûbarên darayî Apache Fineract, ku dihêle bikarhênerek nerastkirî bigihîje darvekirina kodê ji dûr ve. Pirsgirêk ji ber nebûna revîna rast a karakterên ".." di rêyên ku ji hêla pêkhateyê ve ji bo barkirina pelan têne hilberandin, pêk tê. Zelalbûn di berdanên Apache Fineract 1.7.1 û 1.8.1 de hate rast kirin.
- Di çarçoweya Apache Tapestry Java de qelsiyek (CVE-2022-46366) ku destûrê dide ku kod were darve kirin dema ku daneya bi taybetî hatî formatkirin were deserialîzekirin. Pirsgirêk tenê di şaxa kevn a Apache Tapestry 3.x de, ku êdî nayê piştgirî kirin, xuya dike.
- Qelsiyên di pêşkêşkerên Apache Airflow yên Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) û Spark (CVE-2022-40954) de, dibe sedema barkirina kodê ji dûr ve pelên keyfî an guheztina fermanan di çarçoweya pêkanîna kar de bêyî ku gihîştina nivîsandina pelên DAG-ê hebe.
Source: opennet.ru