Disa dobësi të identifikuara së fundmi:
- Një cenueshmëri kritike (CVE-2022-41034) është identifikuar në Visual Studio Code (VS Code) që lejon ekzekutimin e kodit kur një përdorues hap një lidhje të përgatitur nga një sulmues. Kodi mund të ekzekutohet ose në makinën VS Code ose në çdo makinë tjetër të lidhur me VS Code duke përdorur veçorinë e Zhvillimit në distancë. Problemi paraqet rrezikun më të madh për përdoruesit e versionit në internet të VS Code dhe redaktorët e uebit të bazuar në të, duke përfshirë GitHub Codespaces dhe github.dev.
Dobësia shkaktohet nga aftësia për të përpunuar lidhjet e shërbimit "komandë:" për të hapur një dritare me një terminal dhe për të ekzekutuar komanda arbitrare të guaskës në të, kur përpunoni dokumente të dizajnuara posaçërisht në formatin Jypiter Notebook në redaktues, të shkarkuar nga një server në internet i kontrolluar nga sulmuesi (skedarët e jashtëm me shtesën " .ipynb" pa konfirmime shtesë hapen në modalitetin "isTrusted", i cili lejon përpunimin e "komandës:").
- Një dobësi është identifikuar në redaktuesin e tekstit GNU Emacs (CVE-2022-45939), i cili lejon organizimin e ekzekutimit të komandave kur hapet një skedar me kod, përmes zëvendësimit të karaktereve speciale në emrin e përpunuar duke përdorur paketën e veglave ctag.
- Një dobësi (CVE-2022-31097) është identifikuar në platformën e vizualizimit të të dhënave me burim të hapur Grafana që mund të lejojë ekzekutimin e kodit JavaScript kur shfaqet një njoftim përmes sistemit Grafana Alerting. Një sulmues me të drejta Redaktori mund të përgatisë një lidhje të krijuar posaçërisht dhe të fitojë akses në ndërfaqen Grafana me të drejtat e administratorit nëse administratori klikon në këtë lidhje. Dobësia është rregulluar në versionet Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 dhe 8.3.10.
- Dobësia (CVE-2022-46146) në bibliotekën e paketës së veglave të eksportuesit e përdorur për të krijuar eksportues metrikë për Prometheus. Problemi ju lejon të anashkaloni vërtetimin bazë.
- Dobësi (CVE-2022-44635) në platformën e shërbimeve financiare Apache Fineract që lejon një përdorues të paautentikuar të arrijë ekzekutimin e kodit në distancë. Problemi është shkaktuar nga mungesa e ikjes së duhur të karaktereve ".." në shtigjet e përpunuara nga komponenti për ngarkimin e skedarëve. Dobësia u rregullua në lëshimet e Apache Fineract 1.7.1 dhe 1.8.1.
- Një cenueshmëri (CVE-2022-46366) në kornizën Apache Tapestry Java që lejon ekzekutimin e kodit personal kur të dhënat e formatuara posaçërisht deserializohen. Problemi shfaqet vetëm në degën e vjetër të Apache Tapestry 3.x, e cila nuk mbështetet më.
- Dobësitë në ofruesit e Apache Airflow ndaj Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) dhe Spark (CVE-2022-40954), duke çuar në ekzekutimin arbitrar të kodit në distancë përmes skedarët ose zëvendësimi i komandës në kontekstin e ekzekutimit të punës pa pasur akses shkrimi në skedarët DAG.
Burimi: opennet.ru