پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > VS ڪوڊ، گرافانا، GNU Emacs ۽ Apache Fineract ۾ ڪمزوريون

VS ڪوڊ، گرافانا، GNU Emacs ۽ Apache Fineract ۾ ڪمزوريون

ڪجھ تازو سڃاڻپ ٿيل نقصانڪار:

  • ويزوئل اسٽوڊيو ڪوڊ (VS ڪوڊ) ايڊيٽر ۾ هڪ نازڪ ڪمزوري (CVE-2022-41034) جي نشاندهي ڪئي وئي آهي، جيڪو ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿو جڏهن ڪو صارف حملي ڪندڙ طرفان تيار ڪيل لنڪ کولي ٿو. ڪوڊ ٻنهي ڪمپيوٽرن تي هلائي سگھجي ٿو VS ڪوڊ هلائيندڙ ۽ "ريموٽ ڊولپمينٽ" فنڪشن استعمال ڪندي VS ڪوڊ سان ڳنڍيل ڪنهن ٻئي ڪمپيوٽرن تي. مسئلو VS ڪوڊ جي ويب ورزن جي استعمال ڪندڙن لاءِ سڀ کان وڏو خطرو آهي ۽ ان تي ٻڌل ويب ايڊيٽرز، بشمول GitHub Codespaces ۽ github.dev.

    خطري جو سبب سروس لنڪس کي پروسيس ڪرڻ جي صلاحيت جي ڪري آهي “ڪمانڊ:” ٽرمينل سان ونڊو کولڻ ۽ ان ۾ صوابديدي شيل ڪمانڊز تي عمل ڪرڻ، جڏهن ايڊيٽر ۾ پروسيسنگ خاص طور تي ڊزائين ڪيل دستاويزن ۾ Jypiter Notebook فارميٽ ۾ ڊائون لوڊ ڪيل ويب سرور کان ڪنٽرول ٿيل. حملو ڪندڙ (ٻاهرين فائلون ايڪسٽينشن سان “.ipynb” اضافي تصديق کان سواءِ “isTrusted” موڊ ۾ کوليون وينديون آهن، جيڪو ”ڪمانڊ:“ جي پروسيسنگ جي اجازت ڏئي ٿو).

  • GNU Emacs ٽيڪسٽ ايڊيٽر ۾ هڪ ڪمزوري (CVE-2022-45939) جي نشاندهي ڪئي وئي آهي، جيڪا ڪوڊ سان فائل کولڻ وقت حڪمن تي عمل ڪرڻ جي اجازت ڏئي ٿي، ctags ٽول ڪٽ استعمال ڪندي پروسيس ٿيل نالي ۾ خاص اکرن جي متبادل ذريعي.
  • هڪ ڪمزوري (CVE-2022-31097) جي نشاندهي ڪئي وئي آهي اوپن ڊيٽا ويزولائيزيشن پليٽ فارم گرافانا، جيڪا جاوا اسڪرپٽ ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿي جڏهن گرافانا الرٽنگ سسٽم ذريعي نوٽيفڪيشن ڏيکاري ٿي. ايڊيٽر جي حقن سان گڏ حملو ڪندڙ خاص طور تي ٺهيل لنڪ تيار ڪري سگهي ٿو ۽ ايڊمنسٽريٽر جي حقن سان گڏ گرافانا انٽرفيس تائين رسائي حاصل ڪري سگهي ٿو جيڪڏهن منتظم هن لنڪ تي ڪلڪ ڪري. خطرن کي خطاب ڪيو ويو آهي گرافانا رليز 9.2.7، 9.3.0، 9.0.3، 8.5.9، 8.4.10 ۽ 8.3.10.
  • ايڪسپورٽر-ٽول ڪِٽ لئبرري ۾ هڪ ڪمزوري (CVE-2022-46146) Prometheus لاءِ ميٽرڪس ايڪسپورٽ ماڊلز ٺاهڻ لاءِ استعمال ڪئي وئي. مسئلو توهان کي اجازت ڏئي ٿو ته بنيادي تصديق کي نظرانداز ڪرڻ.
  • هڪ ڪمزور (CVE-2022-44635) پليٽ فارم ۾ مالي خدمتون Apache Fineract ٺاهڻ لاءِ، جيڪا هڪ غير تصديق ٿيل صارف کي ريموٽ ڪوڊ جي عمل کي حاصل ڪرڻ جي اجازت ڏئي ٿي. مسئلو ".." فائلن کي لوڊ ڪرڻ لاء اجزاء طرفان پروسيس ٿيل رستن ۾ صحيح طور تي فرار ٿيڻ جي کوٽ سبب آهي. Apache Fineract 1.7.1 ۽ 1.8.1 رليز ۾ نقصان کي مقرر ڪيو ويو.
  • Apache Tapestry Java فريم ورڪ ۾ هڪ ڪمزوري (CVE-2022-46366) جيڪا ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿي جڏهن خاص طور تي فارميٽ ٿيل ڊيٽا کي ختم ڪيو وڃي. مسئلو صرف Apache Tapestry 3.x جي پراڻي شاخ ۾ ظاهر ٿئي ٿو، جيڪو هاڻي سپورٽ ناهي.
  • Hive (CVE-2022-41131)، Pinot (CVE-2022-38649)، Pig (CVE-2022-40189) ۽ اسپارڪ (CVE-2022-40954) کي اپاچي ايئر فلو فراهم ڪندڙن ۾ ڪمزوريون، ريموٽ ڪوڊ ذريعي ڪٽڻ جي ڪري DAG فائلن تائين لکڻ جي رسائي کانسواءِ نوڪري جي عمل جي حوالي سان آربرٽري فائلون يا ڪمانڊ متبادل.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو