Неколико недавно идентификованих рањивости:
- У уређивачу Висуал Студио Цоде (ВС Цоде) идентификована је критична рањивост (ЦВЕ-2022-41034), која омогућава извршавање кода када корисник отвори везу коју је припремио нападач. Код се може извршити и на рачунару који користи ВС Цоде и на било ком другом рачунару који је повезан са ВС Цоде користећи функцију „Ремоте Девелопмент“. Проблем представља највећу претњу корисницима веб верзије ВС Цоде-а и веб уредника заснованих на њој, укључујући ГитХуб Цодеспацес и гитхуб.дев.
Рањивост је узрокована могућношћу обраде сервисних веза „команда:“ за отварање прозора са терминалом и извршавање произвољних команди љуске у њему, приликом обраде у уређивачу посебно дизајнираних докумената у формату Јипитер Нотебоок преузетих са веб сервера који контролише нападач (спољне датотеке са екстензијом „.ипинб“ без додатних потврда отварају се у „исТрустед“ режиму, који омогућава обраду „цомманд:“).
- Идентификована је рањивост (ЦВЕ-2022-45939) у уређивачу текста ГНУ Емацс, који омогућава извршавање команди приликом отварања датотеке са кодом, кроз замену специјалних знакова у називу који се обрађује помоћу комплета алата цтагс.
- Идентификована је рањивост (ЦВЕ-2022-31097) у платформи за визуелизацију отворених података Графана, која омогућава извршавање ЈаваСцрипт кода приликом приказивања обавештења преко Графана Алертинг система. Нападач са правима уредника може припремити посебно дизајнирану везу и добити приступ Графана интерфејсу са администраторским правима ако администратор кликне на ову везу. Рањивост је решена у издањима Графане 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
- Рањивост (ЦВЕ-2022-46146) у библиотеци алата за извоз коришћена за креирање модула за извоз метрика за Прометхеус. Проблем вам омогућава да заобиђете основну аутентификацију.
- Рањивост (ЦВЕ-2022-44635) у платформи за креирање финансијских услуга Апацхе Финерацт, која омогућава неауторизованом кориснику да постигне даљинско извршавање кода. Проблем је узрокован недостатком правилног избегавања ".." знакова у путањама које обрађује компонента за учитавање датотека. Рањивост је исправљена у издањима Апацхе Финерацт 1.7.1 и 1.8.1.
- Рањивост (ЦВЕ-2022-46366) у Апацхе Тапестри Јава оквиру која омогућава извршавање кода када се посебно форматирани подаци десериализују. Проблем се појављује само у старој грани Апацхе Тапистри 3.к, која више није подржана.
- Рањивости у Апацхе Аирфлов провајдерима у Хиве (ЦВЕ-2022-41131), Пинот (ЦВЕ-2022-38649), Пиг (ЦВЕ-2022-40189) и Спарк (ЦВЕ-2022-40954), што доводи до даљинског извршавања кода путем учитавања произвољне датотеке или замена команди у контексту извршавања посла без приступа писању у ДАГ датотеке.
Извор: опеннет.ру