Diversi vulnerabbiltajiet identifikati reċentement:
- Vulnerabbiltà kritika (CVE-2022-41034) ġiet identifikata fl-editur tal-Visual Studio Code (VS Code), li tippermetti l-eżekuzzjoni tal-kodiċi meta utent jiftaħ link ippreparat minn attakkant. Il-kodiċi jista 'jiġi eżegwit kemm fuq il-kompjuter li jħaddem VS Code kif ukoll fuq kwalunkwe kompjuter ieħor konness ma' VS Code bl-użu tal-funzjoni "Żvilupp mill-bogħod". Il-problema toħloq l-akbar theddida għall-utenti tal-verżjoni tal-web ta 'VS Code u edituri tal-web ibbażati fuqha, inklużi GitHub Codespaces u github.dev.
Il-vulnerabbiltà hija kkawżata mill-abbiltà li tipproċessa links tas-servizz "kmand:" biex tiftaħ tieqa b'terminal u tesegwixxi kmandi arbitrarji tal-qoxra fiha, meta tipproċessa fl-editur dokumenti ddisinjati apposta fil-format Jypiter Notebook imniżżla minn server tal-web ikkontrollat minn l-attakkant (fajls esterni bl-estensjoni " .ipynb" mingħajr konfermi addizzjonali jinfetħu fil-mod "isTrusted", li jippermetti l-ipproċessar ta '"kmand:").
- Ġiet identifikata vulnerabbiltà (CVE-2022-45939) fl-editur tat-test GNU Emacs, li jippermetti li l-kmandi jiġu eżegwiti meta jinfetaħ fajl b'kodiċi, permezz tas-sostituzzjoni ta' karattri speċjali fl-isem ipproċessat bl-użu ta' toolkit ctags.
- Ġiet identifikata vulnerabbiltà (CVE-2022-31097) fil-pjattaforma ta' viżwalizzazzjoni tad-dejta miftuħa Grafana, li tippermetti l-eżekuzzjoni tal-kodiċi JavaScript meta turi notifika permezz tas-sistema ta' Twissija Grafana. Attakkant bi drittijiet ta' Editur jista' jipprepara link iddisinjat apposta u jikseb aċċess għall-interface Grafana bi drittijiet ta' amministratur jekk l-amministratur jikklikkja fuq din il-link. Il-vulnerabbiltà ġiet indirizzata fir-rilaxxi Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 u 8.3.10.
- Vulnerabilità (CVE-2022-46146) fil-librerija tal-għodda tal-esportaturi użata biex toħloq moduli tal-esportazzjoni tal-metriċi għal Prometheus. Il-problema tippermettilek tevita l-awtentikazzjoni bażika.
- Vulnerabilità (CVE-2022-44635) fil-pjattaforma għall-ħolqien ta 'servizzi finanzjarji Apache Fineract, li tippermetti utent mhux awtentikat biex jikseb eżekuzzjoni remota tal-kodiċi. Il-problema hija kkawżata min-nuqqas ta 'ħarba xierqa ta' karattri ".." fil-mogħdijiet ipproċessati mill-komponent għat-tagħbija tal-fajls. Il-vulnerabbiltà ġiet iffissata fir-rilaxxi ta' Apache Fineract 1.7.1 u 1.8.1.
- Vulnerabilità (CVE-2022-46366) fil-qafas Apache Tapestry Java li tippermetti li jiġi esegwit kodiċi meta data fformattjata apposta tiġi deserializzata. Il-problema tidher biss fil-fergħa l-antika ta 'Apache Tapestry 3.x, li m'għadhiex appoġġjata.
- Vulnerabbiltajiet fil-fornituri Apache Airflow għal Doqqajs (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) u Spark (CVE-2022-40954), li jwasslu għal eżekuzzjoni remota tal-kodiċi permezz tat-tagħbija fajls arbitrarji jew sostituzzjoni tal-kmand fil-kuntest tal-eżekuzzjoni tax-xogħol mingħajr ma jkollok aċċess għall-kitba għal fajls DAG.
Sors: opennet.ru