Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Несколько недавно выявленных уязвимостей:
- В редакторе Visual Studio Code (VS Code) выявлена критическая уязвимость (CVE-2022-41034), позволяющая организовать выполнение кода при открытии пользователем ссылки, подготовленной атакующим. Код может быть выполнен как на компьютере с VS Code, так и на любых других компьютерах, подключённых к VS Code при помощи функции "Remote Development". Проблема представляет наибольшую опасность для пользователей web-версии VS Code и web-редакторов на её основе, включая GitHub Codespaces и github.dev.
Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:").
- В текстовом редакторе GNU Emacs выявлена уязвимость (CVE-2022-45939), позволяющая организовать выполнение команд при открытии файла с кодом, через подстановку спецсимволов в имени, обрабатываемом при помощи инструментария ctags.
- В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2022-31097), позволяющая добиться выполнения JavaScript-кода при выводе уведомления через систему Grafana Alerting. Атакующий с правами редактора (Editor) может подготовить специально оформленную ссылку и получить доступ к интерфейсу Grafana с правами администратора в случае перехода администратора по этой ссылке. Уязвимость устранена в выпусках Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
- Уязвимость (CVE-2022-46146) в библиотеке exporter-toolkit, используемой для создания модулей экспорта метрик для Prometheus. Проблема позволяет обойти basic-аутентификацию.
- Уязвимость (CVE-2022-44635) в платформе для создания финансовых сервисов Apache Fineract, позволяющая неаутентифицированному пользователю добиться удалённого выполнения кода. Проблема вызвана отсутствием должного экранирования символов ".." в путях, обрабатываемых компонентом для загрузки файлов. Уязвимость устранена в выпусках Apache Fineract 1.7.1 и 1.8.1.
- Уязвимость (CVE-2022-46366) в Java-фреймворке Apache Tapestry, позволяющая добиться выполнения своего кода при десериализации специально оформленных данных. Проблема проявляется только в старой ветке Apache Tapestry 3.x, которая уже не поддерживается.
- Уязвимости в провайдерах Apache Airlfow к Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) и Spark (CVE-2022-40954), приводящие к удалённому выполнению кода через загрузку произвольных файлов или подстановку команд в контексте выполнения заданий, не имея доступа на запись к DAG-файлам.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- OpenNews: Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
- OpenNews: Релиз текстового редактора GNU Emacs 23.4 с устранением уязвимости
- OpenNews: В Emacs 25.3 устранена уязвимость
- OpenNews: Проект VSCodium развивает полностью открытый вариант редактора Visual Studio Code
- OpenNews: Доступен Uncoded, вариант редактора VSCode без телеметрии
Похожие новости:
- Компания Grafana открыла код системы реагирования на инциденты OnCall
- Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
- Выпуск текстового редактора GNU Emacs 28.1
- Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
- Лидер Apache PLC4X перешёл на модель платного развития функциональности
- Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
- Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
- Доступен Apache OpenMeetings 6.2, сервер для проведения web-конференций
- Фонд Apache уходит от системы зеркал в пользу CDN
- Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
Теги для поиска: #_vscode, #_grafana, #_emacs, #_apache
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 01:44
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
Несколько недавно выявленных уязвимостей:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 01:44
Часовой пояс: UTC + 5