Саяхан тодорхойлсон хэд хэдэн эмзэг байдал:
- Visual Studio Code (VS Code) засварлагчид халдагчийн бэлтгэсэн холбоосыг хэрэглэгч нээх үед код гүйцэтгэх боломжийг олгодог чухал эмзэг байдлыг (CVE-2022-41034) илрүүлсэн. Энэ кодыг VS Code ажиллуулж байгаа компьютер болон "Алсын зайнаас хөгжүүлэх" функцийг ашиглан VS кодтой холбогдсон бусад компьютер дээр хоёуланг нь гүйцэтгэж болно. Асуудал нь GitHub Codespaces болон github.dev зэрэг VS Code-ийн вэб хувилбар болон түүн дээр суурилсан вэб засварлагчдад хамгийн их аюул учруулж байна.
Энэхүү эмзэг байдал нь веб серверээс татаж авсан Jypiter Notebook форматаар тусгайлан боловсруулсан баримт бичгүүдийг засварлагч дээр боловсруулахдаа терминал бүхий цонх нээж, дурын бүрхүүлийн командуудыг гүйцэтгэх "команд:" үйлчилгээний холбоосыг боловсруулах чадвараас үүдэлтэй юм. халдагч (".ipynb" өргөтгөлтэй гадаад файлуудыг нэмэлт баталгаажуулалтгүйгээр "iTrusted" горимд нээдэг бөгөөд энэ нь "команд:"-ыг боловсруулах боломжийг олгодог).
- GNU Emacs текст засварлагч дээр ctags хэрэглүүрийг ашиглан боловсруулсан нэрний тусгай тэмдэгтүүдийг орлуулах замаар кодтой файл нээх үед тушаалуудыг гүйцэтгэх боломжийг олгодог эмзэг байдал (CVE-2022-45939) илэрсэн.
- Grafana Alerting системээр дамжуулан мэдэгдлийг харуулах үед JavaScript кодыг гүйцэтгэх боломжийг олгодог нээлттэй өгөгдөл дүрслэх платформ Grafana-д (CVE-2022-31097) эмзэг байдал илэрсэн. Редакторын эрхтэй халдагч нь тусгайлан зохион бүтээсэн холбоосыг бэлтгэж, администратор энэ холбоос дээр дарвал администраторын эрх бүхий Grafana интерфейс рүү нэвтрэх боломжтой болно. Графанагийн 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10, 8.3.10 хувилбаруудад эмзэг байдлыг зассан.
- Прометейд зориулсан хэмжүүрийн экспортын модулиудыг үүсгэхэд ашигладаг экспортлогчийн хэрэгслийн номын сан дахь эмзэг байдал (CVE-2022-46146). Асуудал нь үндсэн баталгаажуулалтыг алгасах боломжийг олгодог.
- Apache Fineract санхүүгийн үйлчилгээг бий болгох платформ дахь эмзэг байдал (CVE-2022-44635) бөгөөд энэ нь баталгаажуулаагүй хэрэглэгчдэд кодыг алсаас гүйцэтгэх боломжийг олгодог. Асуудал нь файлуудыг ачаалах бүрэлдэхүүн хэсгийн боловсруулсан замууд дахь ".." тэмдэгтүүдийг зөв орхиогүйгээс үүсдэг. Энэ эмзэг байдлыг Apache Fineract 1.7.1 болон 1.8.1 хувилбаруудад зассан.
- Apache Tapestry Java хүрээн дэх эмзэг байдал (CVE-2022-46366) нь тусгайлан форматлагдсан өгөгдлийг цувралаас гаргах үед кодыг гүйцэтгэх боломжийг олгодог. Асуудал нь зөвхөн Apache Tapestry 3.x-ийн хуучин салбар дээр л гарч ирдэг бөгөөд энэ нь цаашид дэмжигдэхгүй.
- Apache Airflow үйлчилгээ үзүүлэгчдийн Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) болон Spark (CVE-2022-40954)-ийн эмзэг байдал нь кодыг ачаалах замаар алсаас гүйцэтгэхэд хүргэдэг. DAG файлд бичих эрхгүйгээр ажлын гүйцэтгэлийн хүрээнд дурын файл эсвэл тушаалыг орлуулах.
Эх сурвалж: opennet.ru