⚠️ #заметки #события #offense #infrastructure #web

➡️НЕ рейтинг (боже упаси), но обзор! Самые громкие CVE за год: те, что заработали высокий CVSS, и те, что просто вызвали эмоции;


🐰 React2Shell / React Server Unauth RCE ⚡️
ℹ️ CVE-2025-55182 / CVE-2025-66478 / ...

В связи с небезопасной десериализацей: запрос со специально сформированным объектом➡️Unath RCE на тысячах хостов;

crafted_chunk = {
    "then": "$1:__proto__:then",
    "status": "resolved_model",
    "reason": -1,
    "value": '{"then": "$B0"}',
    "_response": {
        "_prefix": f"██████;",
        "_formData": {
            "get": "$1:constructor:constructor",
        },
    },
}

files = {
    "0": (None, json.dumps(crafted_chunk)),
    "1": (None, '"$@0"'),
}

▪️ Пост @HaHacking с разбором!
▪️ react2shell.com
▪️ github.com/msanft/CVE-2025-55182
▪️ Оригинальный PoC от автора
➕ Очень детальный анализ


🐰 FortiWeb: RCE Chain
ℹ️ CVE-2025-64446➕CVE-2025-58034

CVE-2025-64446 — Path Traversal в Apache➕CGI Auth Bypass➡️Unauth создание административных аккаунтов;

POST /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
CGIINFO: <CGIINFO>

{"data": {██████}}

CVE-2025-58034 — Auth исполнение произвольных системных команд; Вместе с CVE-2025-64446➡️цепочка для RCE;

▪️ Статья-обзор, CVE-2025-64446
▪️ Статья-обзор, CVE-2025-58034


🐰 Grafana PrivEsc
ℹ️ CVE-2025-41115

Из-за некорректного маппинга идентификаторов в SCIM возможна подмена externalId / создание пользователя с externalId=1➡️коллизия, вход под любым пользователем / администратором;

POST /api/scim/v2/Users

{"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"], "externalId": ██████, ...}

🐰 pgAdmin RCE
ℹ️ CVE-2025-2945, CVE-2025-13780

CVE-2025-2945 — для обработки запросов в модулях Query Tool / Cloud Deployment использовался eval()➡️Auth RCE: py0zz1.tistory.com/.../Remote-Code-Execution-Vulnerability-in-pgAdmin-CVE-2025-2945;

POST /sqleditor/query_tool/download/<ID>
{"query_commited": "██████"}

POST /cloud/deploy
{"high_availability": "██████"}

CVE-2025-13780 — Regex для блокировки опасных метакоманд в PLAIN-дампах не учитывал некоторые последовательности (\r, \x0B, \x0C, \xEF\xBB\xBF, ...)➡️RCE;

▪️ Статья-обзор
▪️ github.com/zeropwn/pgadmin4-9.10-CVE-2025-13780


🐰 ASP[.]NET Core HTTP Request Smuggling
ℹ️ CVE-2025-55315

Всё по заветам ‟HTTP/1.1 must die” от James Kettle — благодаря особенностям протокола + недостаточной фильтрации➡️HTTP Request Smuggling;

Например, вот этот запрос вернёт xy:

POST /Echo HTTP/1.1
Host: <HOSTNAME>
Transfer-Encoding: chunked
Content-Type: text/plain

2;\n
xx\r\n
xy\r\n
0\r\n
\r\n

▪️ Статья-обзор от автора
➕ Очень детальный анализ


🐰 RediShell / Redis Lua Auth RCE
ℹ️ CVE-2025-49844

13 лет томилась в кодовой базе, чтобы в этом году выстрелить: из-за особенностей работы со стеком, обработка специального скрипта может привести к Use-After-Free➡️выход из песочницы Lua, RCE:

▪️ Статья-обзор
▪️ github.com/raminfp/redis_exploit


🐰 MongoBleed / MongoDB Unauth Memory Leak
ℹ️ CVE-2025-14847

Отправка специальных сообщений с увеличенными значениями длины, чтобы сервер выделил побольше памяти (верит на слово, несмотря на размер после разжатия) + без \0, чтобы не заканчивал читать➡️утечка памяти в ответе;

▪️ Статья-обзор
▪️ github.com/joe-desimone/mongobleed


➡️Stay safe!

   @HaHacking  🐇 [🍬]