Udhaifu kadhaa uliotambuliwa hivi karibuni:
- Athari mbaya (CVE-2022-41034) imetambuliwa katika kihariri cha Msimbo wa Visual Studio (VS Code), ambayo inaruhusu utekelezaji wa msimbo mtumiaji anapofungua kiungo kilichoandaliwa na mshambulizi. Nambari hiyo inaweza kutekelezwa kwenye kompyuta inayoendesha Msimbo wa VS na kwenye kompyuta nyingine yoyote iliyounganishwa na Msimbo wa VS kwa kutumia kazi ya "Uendelezaji wa Mbali". Tatizo linaleta tishio kubwa kwa watumiaji wa toleo la wavuti la Msimbo wa VS na wahariri wa wavuti kulingana nayo, pamoja na GitHub Codespaces na github.dev.
Udhaifu huo unasababishwa na uwezo wa kuchakata viungo vya huduma "amri:" kufungua dirisha na terminal na kutekeleza amri kiholela za ganda ndani yake, wakati wa kuchakata katika kihariri hati iliyoundwa mahususi katika umbizo la Jypiter Notebook iliyopakuliwa kutoka kwa seva ya wavuti inayodhibitiwa na. mshambulizi (faili za nje zilizo na kiendelezi " .ipynb" bila uthibitisho wa ziada hufunguliwa katika hali ya "isTrusted", ambayo inaruhusu usindikaji wa "amri:").
- Athari ya kuathiriwa (CVE-2022-45939) imetambuliwa katika kihariri cha maandishi cha GNU Emacs, ambacho huruhusu amri kutekelezwa wakati wa kufungua faili iliyo na msimbo, kupitia uwekaji wa herufi maalum katika jina lililochakatwa kwa kutumia zana ya zana za ctags.
- Athari ya kuathiriwa (CVE-2022-31097) imetambuliwa katika jukwaa la wazi la taswira ya data la Grafana, linaloruhusu utekelezaji wa msimbo wa JavaScript wakati wa kuonyesha arifa kupitia mfumo wa Arifa wa Grafana. Mshambulizi aliye na haki za Mhariri anaweza kuandaa kiungo kilichoundwa mahususi na kupata ufikiaji wa kiolesura cha Grafana chenye haki za msimamizi ikiwa msimamizi atabofya kiungo hiki. Athari hii imeshughulikiwa katika matoleo ya Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 na 8.3.10.
- Athari mbaya (CVE-2022-46146) katika maktaba ya zana ya msafirishaji inayotumika kuunda moduli za usafirishaji wa vipimo vya Prometheus. Tatizo hukuruhusu kukwepa uthibitishaji wa msingi.
- Athari za kiusalama (CVE-2022-44635) katika mfumo wa kuunda huduma za kifedha za Apache Fineract, ambayo huruhusu mtumiaji ambaye hajaidhinishwa kufikia utekelezaji wa msimbo wa mbali. Shida husababishwa na ukosefu wa kutoroka kwa herufi ".." kwenye njia zilizochakatwa na sehemu ya kupakia faili. Athari hii ilirekebishwa katika matoleo ya Apache Fineract 1.7.1 na 1.8.1.
- Athari za kuathiriwa (CVE-2022-46366) katika mfumo wa Java wa Apache Tapestry unaoruhusu msimbo kutekelezwa wakati data iliyoumbizwa mahususi inapotezwa. Tatizo linaonekana tu katika tawi la zamani la Apache Tapestry 3.x, ambalo halitumiki tena.
- Udhaifu katika watoa huduma za Apache Airflow kwa Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Nguruwe (CVE-2022-40189) na Spark (CVE-2022-40954), na kusababisha utekelezaji wa msimbo wa mbali kupitia upakiaji. faili za kiholela au uingizwaji wa amri katika muktadha wa utekelezaji wa kazi bila kuwa na ufikiaji wa maandishi kwa faili za DAG.
Chanzo: opennet.ru