Якчанд осебпазириҳои ба наздикӣ муайяншуда:
- Дар Visual Studio Code (VS Code) осебпазирии интиқодӣ (CVE-2022-41034) муайян шудааст, ки ҳангоми кушодани истиноди аз ҷониби ҳамлагар омодашуда корбар иҷро кардани кодро имкон медиҳад. Рамзро метавон ҳам дар мошини VS Code ё дар ҳама гуна мошини дигаре, ки ба VS Code пайваст аст, бо истифода аз хусусияти рушди дурдаст иҷро кард. Мушкилот барои корбарони версияи веби VS Code ва муҳаррирони веб дар асоси он, аз ҷумла GitHub Codespaces ва github.dev, хатари бештарро ба бор меорад.
Ин осебпазирӣ аз қобилияти коркарди истинодҳои хидматрасонии "фармон:" барои кушодани тиреза бо терминал ва иҷро кардани фармонҳои худсарона дар он, ҳангоми коркарди ҳуҷҷатҳои махсус тарҳрезишуда дар формати Jypiter Notebook дар муҳаррир, ки аз веб-сервери идорашаванда зеркашӣ карда мешавад, ба вуҷуд омадааст. аз ҷониби ҳамлакунанда (файлҳои беруна бо тамдиди " .ipynb" бе тасдиқи иловагӣ дар реҷаи "isTrusted" кушода мешаванд, ки коркарди "фармон:" имкон медиҳад).
- Дар муҳаррири матнии GNU Emacs (CVE-2022-45939) осебпазирӣ муайян карда шуд, ки имкон медиҳад иҷрои фармонҳоро ҳангоми кушодани файл бо код тавассути иваз кардани аломатҳои махсус дар номе, ки бо истифода аз абзори ctags коркард шудааст, ташкил кунад.
- Дар платформаи визуализатсияи додаҳои кушодаи Grafana осебпазирӣ (CVE-2022-31097) муайян шудааст, ки метавонад ҳангоми намоиши огоҳинома тавассути системаи Grafana Alerting коди JavaScript иҷро шавад. Ҳамлагаре, ки ҳуқуқи Муҳаррир дорад, метавонад истиноди махсус тарҳрезишударо омода кунад ва ба интерфейси Grafana бо ҳуқуқи администратор дастрасӣ пайдо кунад, агар администратор ин истинодро клик кунад. Осебият дар версияҳои Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 ва 8.3.10 ислоҳ шудааст.
- Осебпазирӣ (CVE-2022-46146) дар китобхонаи асбобҳои содиркунанда барои эҷоди содиркунандагони метрика барои Prometheus истифода мешавад. Мушкилот ба шумо имкон медиҳад, ки аутентификатсияи асосиро гузаред.
- Осебпазирӣ (CVE-2022-44635) дар платформаи хидматрасонии молиявии Apache Fineract, ки ба корбари номаълум имкон медиҳад, ки иҷрои коди дурдаст ба даст орад. Мушкилот аз набудани дуруст гурехтани аломатҳои ".." дар роҳҳое, ки ҷузъ барои боркунии файлҳо коркард мекунад, ба вуҷуд омадааст. Осебият дар версияҳои Apache Fineract 1.7.1 ва 1.8.1 ислоҳ карда шуд.
- осебпазирӣ (CVE-2022-46366) дар чаҳорчӯбаи Apache Tapestry Java, ки имкон медиҳад, ки коди фармоишӣ ҳангоми бекор кардани маълумоти махсус форматшуда иҷро карда шавад. Мушкилот танҳо дар филиали кӯҳнаи Apache Tapestry 3.x пайдо мешавад, ки дигар дастгирӣ намешавад.
- Осебиятҳо дар провайдерҳои Apache Airflow дар Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) ва Spark (CVE-2022-40954), ки боиси иҷрои дурдасти код тавассути боркунии арбитра мешаванд файлҳо ё иваз кардани фармонҳо дар заминаи иҷрои кор бидуни дастрасии хаттӣ ба файлҳои DAG.
Манбаъ: opennet.ru