🥇 וואַלנעראַביליטיז אין VS קאָד, גראַפאַנאַ, GNU Emacs און Apache Fineract

עטלעכע לעצטנס יידענאַפייד וואַלנעראַביליטיז:

א קריטיש וואַלנעראַביליטי (CVE-2022-41034) איז יידענאַפייד אין די וויסואַל סטודיאָ קאָוד (VS Code) רעדאַקטאָר, וואָס אַלאַוז קאָד דורכפירונג ווען אַ באַניצער אָפּענס אַ לינק צוגעגרייט דורך אַ אַטאַקער. דער קאָד קענען זיין עקסאַקיוטאַד ביידע אויף די קאָמפּיוטער פליסנדיק ווס קאָוד און אויף קיין אנדערע קאָמפּיוטערס קאָננעקטעד צו ווס קאָוד ניצן די "ווייַט אַנטוויקלונג" פֿונקציע. דער פּראָבלעם איז די גרעסטע סאַקאָנע צו ניצערס פון די וועב ווערסיע פון VS קאָד און וועב רעדאקציע באזירט אויף עס, אַרייַנגערעכנט GitHub Codespaces און github.dev.
די וואַלנעראַביליטי איז געפֿירט דורך די פיייקייט צו פּראָצעס סערוויס פֿאַרבינדונגען "באַפֿעלן:" צו עפֿענען אַ פֿענצטער מיט אַ וואָקזאַל און ויספירן אַרביטראַריש שאָל קאַמאַנדז אין עס, ווען פּראַסעסינג אין די רעדאַקטאָר ספּעשלי דיזיינד דאָקומענטן אין די Jypiter נאָוטבוק פֿאָרמאַט דאַונלאָודיד פֿון אַ וועב סערווער קאַנטראָולד דורך די אַטאַקער (פונדרויסנדיק טעקעס מיט די פאַרלענגערונג ".יפּינב" אָן נאָך קאַנפערמיישאַנז זענען געעפנט אין די "יטראַסטעד" מאָדע, וואָס אַלאַוז פּראַסעסינג פון "באַפֿעלן:").
א וואַלנעראַביליטי (CVE-2022-45939) איז יידענאַפייד אין די GNU Emacs טעקסט רעדאַקטאָר, וואָס אַלאַוז קאַמאַנדז צו זיין עקסאַקיוטאַד ווען עפן אַ טעקע מיט קאָד, דורך די סאַבסטיטושאַן פון ספּעציעל אותיות אין די נאָמען פּראַסעסט מיט די ctags טאָאָלקיט.
א וואַלנעראַביליטי (CVE-2022-31097) איז יידענאַפייד אין די עפענען דאַטן וויזשוואַלאַזיישאַן פּלאַטפאָרמע Grafana, וואָס אַלאַוז דורכפירונג פון דזשאַוואַסקריפּט קאָד ווען ווייַזנדיק אַ אָנזאָג דורך די Grafana Alerting סיסטעם. אַן אַטאַקער מיט עדיטאָר רעכט קענען צוגרייטן אַ ספּעציעל דיזיינד לינק און באַקומען אַקסעס צו די גראַפאַנאַ צובינד מיט אַדמיניסטראַטאָר רעכט אויב דער אַדמיניסטראַטאָר קליקט אויף דעם לינק. די וואַלנעראַביליטי איז גערעדט אין Grafana ריליסיז 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 און 8.3.10.
א וואַלנעראַביליטי (CVE-2022-46146) אין די עקספּאָרטער-מכשיר קיט ביבליאָטעק געניצט צו שאַפֿן מעטריקס אַרויספירן מאַדזשולז פֿאַר פּראָמעטהעוס. דער פּראָבלעם אַלאַוז איר צו בייפּאַס יקערדיק אָטענטאַקיישאַן.
א וואַלנעראַביליטי (CVE-2022-44635) אין דער פּלאַטפאָרמע פֿאַר קריייטינג פינאַנציעל באַדינונגס Apache Fineract, וואָס אַלאַוז אַן אַנאָטהענטיקייטיד באַניצער צו דערגרייכן דורכפירונג פון ווייַט קאָד. די פּראָבלעם איז געפֿירט דורך די פעלן פון געהעריק יסקייפּינג פון ".." אותיות אין די פּאַטס פּראַסעסט דורך די קאָמפּאָנענט פֿאַר לאָודינג טעקעס. די וואַלנעראַביליטי איז פאַרפעסטיקט אין Apache Fineract 1.7.1 און 1.8.1 ריליסיז.
א וואַלנעראַביליטי (CVE-2022-46366) אין די Apache Tapestry Java פריימווערק וואָס אַלאַוז קאָד צו זיין עקסאַקיוטאַד ווען ספּעשלי פאָרמאַטטעד דאַטן זענען דעסעריאַליזעד. דער פּראָבלעם איז בלויז אין די אַלט צווייַג פון Apache Tapestry 3.x, וואָס איז ניט מער געשטיצט.
וואַלנעראַביליטיז אין די אַפּאַטשי אַירפלאָוו פּראַוויידערז צו היווע (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) און Spark (CVE-2022-40954), לידינג צו ווייַט קאָד דורכפירונג דורך לאָודינג אַרביטראַריש טעקעס אָדער באַפֿעל סאַבסטיטושאַן אין דעם קאָנטעקסט פון אַרבעט דורכפירונג אָן שרייבן אַקסעס צו DAG טעקעס.

מקור: opennet.ru

וואַלנעראַביליטיז אין VS קאָד, Grafana, GNU Emacs און Apache Fineract

לייגן אַ באַמערקונג באָטל מאַכן ענטפער