Kilka ostatnio zidentyfikowanych luk:
- W edytorze Visual Studio Code (VS Code) wykryto krytyczną lukę (CVE-2022-41034), która umożliwia wykonanie kodu w momencie otwarcia przez użytkownika łącza przygotowanego przez atakującego. Kod można wykonać zarówno na komputerze, na którym działa VS Code, jak i na dowolnym innym komputerze podłączonym do VS Code za pomocą funkcji „Remote Development”. Problem stwarza największe zagrożenie dla użytkowników webowej wersji VS Code i bazujących na niej edytorów internetowych, w tym GitHub Codespaces i github.dev.
Podatność spowodowana jest możliwością przetwarzania „poleceń” łączy serwisowych: otwarcia okna z terminalem i wykonania w nim dowolnych poleceń powłoki podczas przetwarzania w edytorze specjalnie zaprojektowanych dokumentów w formacie Jypiter Notebook pobranych z serwera WWW kontrolowanego przez atakującego (zewnętrzne pliki z rozszerzeniem „.ipynb” bez dodatkowych potwierdzeń otwierane są w trybie „isTrusted”, który umożliwia przetworzenie „polecenie:”).
- W edytorze tekstu GNU Emacs zidentyfikowano lukę (CVE-2022-45939), która umożliwia wykonanie poleceń podczas otwierania pliku z kodem poprzez podstawienie znaków specjalnych w nazwie przetwarzanej przy użyciu zestawu narzędzi ctags.
- W platformie wizualizacji otwartych danych Grafana zidentyfikowano lukę (CVE-2022-31097), która umożliwia wykonanie kodu JavaScript podczas wyświetlania powiadomienia poprzez system Grafana Alerting. Osoba atakująca posiadająca uprawnienia Edytora może przygotować specjalnie zaprojektowany link i uzyskać dostęp do interfejsu Grafany z uprawnieniami administratora, jeśli administrator kliknie w ten link. Luka została usunięta w wersjach Grafany 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 i 8.3.10.
- Luka (CVE-2022-46146) w bibliotece narzędzi eksportera służącej do tworzenia modułów eksportu metryk dla Prometheusa. Problem pozwala ominąć podstawowe uwierzytelnianie.
- Luka (CVE-2022-44635) w platformie do tworzenia usług finansowych Apache Fineract, która pozwala nieuwierzytelnionemu użytkownikowi na zdalne wykonanie kodu. Problem jest spowodowany brakiem właściwej zmiany znaków „..” w ścieżkach przetwarzanych przez komponent w celu ładowania plików. Luka została naprawiona w wersjach Apache Fineract 1.7.1 i 1.8.1.
- Luka (CVE-2022-46366) w środowisku Java Apache Tapestry umożliwiająca wykonanie kodu w przypadku deserializacji specjalnie sformatowanych danych. Problem pojawia się tylko w starej gałęzi Apache Tapestry 3.x, która nie jest już obsługiwana.
- Luki w zabezpieczeniach dostawców Apache Airflow dla Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) i Spark (CVE-2022-40954), prowadzące do zdalnego wykonania kodu poprzez ładowanie dowolnych plików lub podstawienia poleceń w kontekście wykonywania zadania bez dostępu do zapisu w plikach DAG.
Źródło: opennet.ru