🔍 Наиболее интересные уязвимости

🐛 CVE-2025-46349, обнаруженная в YesWiki до версии 4.5.4, приводит к Reflected Cross-Site Scripting (XSS). Уязвимость возникала из-за отсутствия экранирования пользовательского ввода в параметре file формы загрузки файлов (см. source code), что позволяло неаутентифицированному злоумышленнику сформировать ссылку, при переходе по которой вредоносный JavaScript выполнялся в браузере жертвы, что могло привести к краже сессий или выполнению произвольных действий. В исправлении была добавлены функции htmlspecialchars() и filter_input() для экранирования параметра file.

🐛 CVE-2025-46337, обнаруженная в ADOdb до версии 5.22.9, приводит к SQL Injection. Уязвимость обусловлена отсутствием экранирования параметров $tablename и $fieldname в методе pg_insert_id() драйвера PostgreSQL (см. source code), что позволяло злоумышленнику выполнять произвольный SQL-запрос. В исправлении была добавлена функция pg_escape_identifier() для безопасного формирования изменяемой части SQL-запроса.

🐛 CVE-2025-46565, обнаруженная в Vite до версий 6.3.4, 6.2.7, 6.1.6, 5.4.19 и 4.5.14, приводит к Path Traversal. Уязвимость возникала из-за недостаточной обработки путей при обращении к файлам, которые находятся в корне проекта (см. source code), что позволяло злоумышленнику обойти ограничения на доступ к чувствительным файлам (например, .env, .crt, .pem), используя комбинацию слэша и точки (/.). В исправлении была добавлена дополнительная проверка запрашиваемых файлов на наличие их в списке запрещенных (checkLoadingAccess()).

🐛 CVE-2025-32970, обнаруженная в XWiki в версиях с 13.5-rc-1 до 15.10.13, с 16.0.0-rc-1 до 16.4.4 и с 16.5.0-rc-1 до 16.8.0, приводит к Open Redirect. Уязвимость возникала из-за отсутствия проверки параметра xerror http-запроса, участвующего в функции sendRedirect() (см. source code), что позволяло злоумышленнику создавать ссылки, перенаправляющие пользователей на произвольные внешние ресурсы. В исправлении был добавлен "белый список" доменов для предотвращения возможности перенаправления на произвольные ресурсы (urlSecurityManager.parseToSafeURI()).

🐛 CVE-2025-3776, обнаруженная в плагине Verification SMS with TargetSMS для WordPress в версиях до и включая 1.5, приводит к Remote Code Execution (RCE). Уязвимость обусловлена отсутствием проверки пользовательского ввода в функции targetvr_ajax_handler(), что позволяет неаутентифицированному злоумышленнику вызвать любую доступную функцию PHP, такую как phpinfo(). Это может привести к выполнению произвольного кода на сервере и компрометации системы. Дополнительная информация и рекомендации по устранению уязвимости доступны в Security Advisory.

🚀 Приходите на олимпиаду 24 мая

Мы с хорошими новостями — новой олимпиаде по программированию от Positive Technologies быть!

Когда и где
➡️ 24 мая с 09:30 до 13:30 мск
➡️ Очно на Positive Hack Days Fest в «Лужниках»
➡️ Онлайн — из любой точки мира

Бронируйте себе этот день в календаре и приходите решать задачи по алгоритмам вместе с друзьями!

Мы приготовили семь задач разного уровня сложности на Яндекс.Контесте. Язык программирования — любой, время решения — три часа.

А еще будут призы и подарки за лучшие решения 🎁

Для участия нужно зарегистрироваться до 23 мая включительно.

📆 Уже ждем встречи!

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-46726, обнаруженная в Langroid до версии 0.53.4, приводит к XXE (XML External Entity). Уязвимость возникала из-за использования XML-парсера из модуля lxml в классе XMLToolMessage без соответствующих ограничений (см. source code), что позволяло злоумышленнику передать специально сформированный XML, содержащий внешние сущности. В исправлении при инициализации XMLParser были добавлены параметры, отключающие загрузку DTD и обработку внешних сущностей.

🐛 CVE-2025-46816, обнаруженная в goshs в версиях с 0.3.4 до 1.0.4 включительно, приводит к RCE (Remote Code Execution). Уязвимость возникала из-за отсутствия проверки CLI-параметра -c в функции dispatchReadPump() (см. source code), что позволяло злоумышленнику отправить специально сформированный WebSocket-запрос с типом command и выполнить произвольную команду на сервере без аутентификации. В исправлении была добавлена проверка наличия флага -c в конфигурации сервера.

🐛 CVE-2025-46734, обнаруженная в PHP-библиотеке League CommonMark в версиях с 1.5.0 до 2.6.x включительно, приводит к XSS (Cross-site Scripting). Уязвимость возникала из-за возможности злоумышленника внедрить произвольные HTML-атрибуты в элементы Markdown с использованием синтаксиса фигурных скобок, например {onerror=alert(1)} (см. source code), что позволяло выполнять произвольный JavaScript в браузере пользователя при рендеринге HTML, даже если были активированы параметры безопасности html_input: 'strip' и allow_unsafe_links: false. В исправлении были реализованы следующие меры: блокировка всех атрибутов, начинающихся с on (например, onclick, onerror), поддержка явного списка разрешённых HTML-атрибутов и приведение поведения атрибутов href и src в соответствие с настройкой allow_unsafe_links

🐛 CVE-2025-47269, обнаруженная в code-server до версии 4.99.4, приводит к Broken Access Control. Уязвимость возникала из-за отсутствия проверки параметра port в маршруте /proxy/:port/*, что позволяло злоумышленнику создать специально сформированный URL, например https://<code-server>/proxy/test@evil.com/path. В результате, запрос перенаправлялся на внешний домен test@evil.com/path, включая сессионные cookie пользователя (см. source code), что позволяло атакующему получить несанкционированный доступ к code-server от имени жертвы. В исправлении была добавлена функция parseInt(), выполняющая преобразования сроки в число для значения "port". Если значение не является числом, сервер возвращает ошибку 400 Bad Request.

🐛 CVE-2025-2775, обнаруженная в SysAid On-Prem версиях до 23.3.40 включительно, приводит к XML External Entity (XXE). Уязвимость возникала из-за отсутствия надлежащих ограничений при обработке XML-документов в в функции Checkin(), что позволяло злоумышленнику без аутентификации отправить специально сформированный XML-запрос, содержащий внешние сущности. Это могло привести к выполнению произвольных команд на сервере, чтению файлов и захвату учетных записей администратора. Дополнительная информация и рекомендации по устранению уязвимости доступны в Security Advisory. Подробную информацию об уязвимости можно прочитать в статье