Verschidde kierzlech identifizéiert Schwachstelle:
- Eng kritesch Schwachstelle (CVE-2022-41034) gouf am Visual Studio Code (VS Code) Editor identifizéiert, wat d'Code Ausféierung erlaabt wann e Benotzer e Link opmaacht, deen vun engem Ugräifer preparéiert ass. De Code ka souwuel um Computer ausgefouert ginn deen VS Code leeft an op all aner Computer verbonne mat VS Code mat der "Ferntwécklung" Funktioun. De Problem stellt déi gréisste Bedrohung fir d'Benotzer vun der Webversioun vum VS Code a Web Editoren op der Basis, dorënner GitHub Codespaces a github.dev.
D'Schwachheet gëtt verursaacht duerch d'Fäegkeet fir Servicelinks "Command:" ze verarbeiten fir eng Fënster mat engem Terminal opzemaachen an arbiträr Shellbefehl dran auszeféieren, wann Dir am Editor speziell entworf Dokumenter am Jypiter Notebook Format erofgelueden hutt, deen vun engem Webserver kontrolléiert gëtt den Ugräifer (extern Dateie mat der Extensioun ".ipynb" ouni zousätzlech Bestätegung ginn am "isTrusted" Modus opgemaach, wat d'Veraarbechtung vum "Command:") erlaabt.
- Eng Schwachstelle (CVE-2022-45939) gouf am GNU Emacs Texteditor identifizéiert, deen et erlaabt Kommandoen auszeféieren wann Dir eng Datei mat Code opmaacht, duerch d'Ersatz vu speziellen Zeechen am Numm veraarbecht mat der ctags Toolkit.
- Eng Schwachstelle (CVE-2022-31097) gouf an der oppener Datenvisualiséierungsplattform Grafana identifizéiert, déi d'Ausféierung vum JavaScript Code erlaabt wann Dir eng Notifikatioun iwwer de Grafana Alerting System weist. En Ugräifer mat Editeur Rechter kann e speziell entworf Link virbereeden an Zougang zu der Grafana Interface mat Administrator Rechter kréien wann den Administrator op dëse Link klickt. D'Vulnerabilitéit gouf a Grafana Verëffentlechungen 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 an 8.3.10 adresséiert.
- Eng Schwachstelle (CVE-2022-46146) an der Exporter-Toolkit-Bibliothéik benotzt fir Metriken Exportmodule fir Prometheus ze kreéieren. De Problem erlaabt Iech d'Basis Authentifikatioun ëmzegoen.
- Eng Schwachstelle (CVE-2022-44635) an der Plattform fir Finanzservicer Apache Fineract ze kreéieren, wat en onauthentifizéierte Benotzer erlaabt d'Ausféierung vum Ferncode z'erreechen. De Problem ass verursaacht duerch de Mangel u korrekt Flucht vu ".." Zeechen an de Weeër, déi vum Komponent veraarbecht ginn fir Dateien ze lueden. D'Vulnerabilitéit gouf an Apache Fineract 1.7.1 an 1.8.1 Verëffentlechungen fixéiert.
- Eng Schwachstelle (CVE-2022-46366) am Apache Tapestry Java Kader, deen et erlaabt Code auszeféieren wann speziell formatéiert Donnéeën deserialiséiert ginn. De Problem erschéngt nëmmen an der aler Branche vun Apache Tapestry 3.x, déi net méi ënnerstëtzt gëtt.
- Schwieregkeeten an den Apache Airflow Ubidder fir Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) a Spark (CVE-2022-40954), wat zu der Remote Code Ausféierung iwwer Luede féiert arbiträr Dateien oder Kommandosubstitutioun am Kontext vun der Aarbechtsausféierung ouni Schreiwen Zougang zu DAG Dateien ze hunn.
Source: opennet.ru