Румяные, сочные, с пылу с жару... мемчики, чтобы чуть разнообразить, длящуюся будто бы вечность, неправильную часть пятницы 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁18🔥6❤🔥4
Forwarded from Искусство. Код... ИИ?
Пока я отчаянно пытаюсь прийти в себя после отличного отпуска и образовавшихся из-за него завалов в задачах на работе, чтобы вернуться к более-менее регулярным публикациям здесь, могу порекомендовать статью из свежего PT Research о проблемах безопасности ML-моделей, написанную в соавторстве с парой моих дорогих коллег из соседнего направления 😍
Please open Telegram to view this post
VIEW IN TELEGRAM
ptresearch.media
Не грози Южному централу, или Снова про безопасность моделей машинного обучения
О чем статья Основные типы атак на ML и LLM, а также методы защиты от них undefined undefined undefined undefined undefined undefined undefined
🔥4
🐛 CVE-2025-55168, обнаруженная в WeGIA (версии до 3.4.8), приводит к SQL injection. Параметр
idfichamedica в /html/saude/aplicarmedicamento.php использовался напрямую в формировании SQL-запросов, что позволяло выполнить произвольный SQL-код. В патче добавлено использование параметризованных запросов.🐛 CVE-2025-55195, обнаруженная в @std/toml (версии до 1.0.9) и приводит к Prototype Pollution. Уязвимость возникает из-за слияния недоверенного объекта с пустым объектом, имеющим прототип, что позволяет атакующему модифицировать цепочку прототипов при разборе TOML. В патче все места создания временных структур заменены на объекты с «обнулённым» прототипом
{ proto: null }.🐛 CVE-2025-55150, обнаруженная в Stirling-PDF (версии до 1.1.0), приводит к Server-side Request Foregry (SSRF). Уязвимость возникала в процессе конвертации HTML в PDF через
/api/v1/convert/html/pdf, где можно обойти встроенный санитайзер и инициировать серверные запросы к произвольным адресам. В патче добавлен специализированный SsrfProtectionService, запрещающий обращения к приватным сетям, loopback, link-local и metadata-адресам.🐛 CVE-2025-54063, обнаруженная в Cherry Studio (версии 1.4.8–1.5.0), приводит к Remote Code Execution (RCE). Уязвимость заключается в возможности размещения вредоносных ссылок, при переходе по которым приложение запускает произвольный код на машине жертвы. В патче добавлена функция
ParseData() для безопасного base64-декодирования и JSON-валидации параметра, а при передаче в рендер теперь применяется encodeURIComponent(data)🐛 CVE-2025-55156, обнаруженная в pyLoad (до 0.5.0b3.dev91), приводит к SQL Injection. Уязвимость заключается в небезопасной конкатенации параметра
add_links в API /json/add_package с запросом, что позволяло злоумышленнику выполнить произвольный SQL код. В патче добавлено использование параметризованных запросов.Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from Владимир Кочетков
Коллеги, завершился этап "Домашнее задание" в рамках испытаний статических анализаторов под патронажем ФСТЭК России.
По этому поводу команда PVS Studio совместно с ГК "Эшелон" и Positive Technologies готовит вебинар на тему: "Техническая сторона первого этапа испытаний статических анализаторов кода под эгидой ФСТЭК".
Акцент сделаем на технические аспекты и обсуждение полученного опыта.
🗓1 сентября в 15:00
Подробности и регистрация по ссылке🔗
#вебинар
По этому поводу команда PVS Studio совместно с ГК "Эшелон" и Positive Technologies готовит вебинар на тему: "Техническая сторона первого этапа испытаний статических анализаторов кода под эгидой ФСТЭК".
Акцент сделаем на технические аспекты и обсуждение полученного опыта.
🗓1 сентября в 15:00
Подробности и регистрация по ссылке
#вебинар
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤2👎1
Всем чудесного пятничного вечера! 🥇 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16😁2🤣1