ఇటీవల గుర్తించబడిన అనేక దుర్బలత్వాలు:
- విజువల్ స్టూడియో కోడ్ (VS కోడ్) ఎడిటర్లో క్లిష్టమైన దుర్బలత్వం (CVE-2022-41034) గుర్తించబడింది, ఇది దాడి చేసే వ్యక్తి తయారుచేసిన లింక్ను వినియోగదారు తెరిచినప్పుడు కోడ్ అమలును అనుమతిస్తుంది. VS కోడ్ నడుస్తున్న కంప్యూటర్లో మరియు "రిమోట్ డెవలప్మెంట్" ఫంక్షన్ని ఉపయోగించి VS కోడ్కి కనెక్ట్ చేయబడిన ఏదైనా ఇతర కంప్యూటర్లలో కోడ్ని అమలు చేయవచ్చు. GitHub కోడ్స్పేస్లు మరియు github.devతో సహా VS కోడ్ యొక్క వెబ్ వెర్షన్ మరియు దాని ఆధారంగా వెబ్ ఎడిటర్లకు ఈ సమస్య గొప్ప ముప్పును కలిగిస్తుంది.
నియంత్రిత వెబ్ సర్వర్ నుండి డౌన్లోడ్ చేయబడిన Jypiter నోట్బుక్ ఫార్మాట్లో ప్రత్యేకంగా రూపొందించిన పత్రాలను ఎడిటర్లో ప్రాసెస్ చేస్తున్నప్పుడు, టెర్మినల్తో విండోను తెరిచి, దానిలో ఏకపక్ష షెల్ ఆదేశాలను అమలు చేయడానికి “కమాండ్:” సర్వీస్ లింక్లను ప్రాసెస్ చేయగల సామర్థ్యం వల్ల దుర్బలత్వం ఏర్పడుతుంది. దాడి చేసే వ్యక్తి (అదనపు నిర్ధారణలు లేకుండా “ .ipynb” పొడిగింపుతో కూడిన బాహ్య ఫైల్లు "isTrusted" మోడ్లో తెరవబడతాయి, ఇది "కమాండ్:" యొక్క ప్రాసెసింగ్ను అనుమతిస్తుంది).
- GNU Emacs టెక్స్ట్ ఎడిటర్లో ఒక దుర్బలత్వం (CVE-2022-45939) గుర్తించబడింది, ఇది ctags టూల్కిట్ని ఉపయోగించి ప్రాసెస్ చేయబడిన పేరులోని ప్రత్యేక అక్షరాల ప్రత్యామ్నాయం ద్వారా కోడ్తో ఫైల్ను తెరిచేటప్పుడు ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది.
- ఓపెన్ డేటా విజువలైజేషన్ ప్లాట్ఫారమ్ గ్రాఫానాలో ఒక దుర్బలత్వం (CVE-2022-31097) గుర్తించబడింది, ఇది గ్రాఫానా అలెర్టింగ్ సిస్టమ్ ద్వారా నోటిఫికేషన్ను ప్రదర్శించేటప్పుడు జావాస్క్రిప్ట్ కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. ఎడిటర్ హక్కులతో దాడి చేసే వ్యక్తి ప్రత్యేకంగా రూపొందించిన లింక్ను సిద్ధం చేయవచ్చు మరియు నిర్వాహకుడు ఈ లింక్పై క్లిక్ చేస్తే అడ్మినిస్ట్రేటర్ హక్కులతో గ్రాఫానా ఇంటర్ఫేస్కు యాక్సెస్ పొందవచ్చు. గ్రాఫానా విడుదలలు 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 మరియు 8.3.10లలో దుర్బలత్వం పరిష్కరించబడింది.
- ప్రోమేతియస్ కోసం మెట్రిక్స్ ఎగుమతి మాడ్యూల్లను రూపొందించడానికి ఉపయోగించే ఎగుమతిదారు-టూల్కిట్ లైబ్రరీలో ఒక దుర్బలత్వం (CVE-2022-46146). సమస్య ప్రాథమిక ప్రమాణీకరణను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
- ఆర్థిక సేవలను సృష్టించే ప్లాట్ఫారమ్లో ఒక దుర్బలత్వం (CVE-2022-44635), ఇది రిమోట్ కోడ్ అమలును సాధించడానికి ప్రమాణీకరించని వినియోగదారుని అనుమతిస్తుంది. ఫైల్లను లోడ్ చేయడం కోసం కాంపోనెంట్ ద్వారా ప్రాసెస్ చేయబడిన పాత్లలో ".." అక్షరాలు సరిగ్గా లేకపోవడం వల్ల సమస్య ఏర్పడింది. అపాచీ ఫైనరాక్ట్ 1.7.1 మరియు 1.8.1 విడుదలలలో దుర్బలత్వం పరిష్కరించబడింది.
- అపాచీ టేప్స్ట్రీ జావా ఫ్రేమ్వర్క్లోని ఒక దుర్బలత్వం (CVE-2022-46366), ఇది ప్రత్యేకంగా ఫార్మాట్ చేయబడిన డేటా డీరియలైజ్ చేయబడినప్పుడు కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. సమస్య Apache Tapestry 3.x యొక్క పాత బ్రాంచ్లో మాత్రమే కనిపిస్తుంది, దీనికి ఇకపై మద్దతు లేదు.
- హైవ్ (CVE-2022-41131), పినోట్ (CVE-2022-38649), పిగ్ (CVE-2022-40189) మరియు స్పార్క్ (CVE-2022-40954)కి అపాచీ ఎయిర్ఫ్లో ప్రొవైడర్లలోని దుర్బలత్వాలు, రిమోట్ కోడ్ ద్వారా అమలు చేయడానికి దారి తీస్తుంది DAG ఫైల్లకు రైట్ యాక్సెస్ లేకుండా ఉద్యోగ అమలు సందర్భంలో ఏకపక్ష ఫైల్లు లేదా కమాండ్ ప్రత్యామ్నాయం.
మూలం: opennet.ru