🔍 Наиболее интересные уязвимости

🐛 CVE-2025-58162, обнаруженная в MobSF (версия 4.4.0), приводит к Path Traversal. Проблема заключалась в возможности загрузки специально подготовленного файла, что позволяло записывать произвольные файлы в любую директорию, доступную для записи пользователем процесса MobSF. В исправлении добавлена валидация передаваемых значений пути с помощью "черного" списка символов.

🐛 CVE-2025-58367, обнаруженная в DeepDiff (версии 5.0.0–8.6.0), приводит к Deserialization of Untrusted Data. Проблема заключалась в том, что Delta позволял передавать пути с __globals__ и __builtins__, что позволяло через pickle.loads выполнить произвольный код. В исправлении добавлены проверки и блокировка доступа к служебным атрибутам (__globals__, __builtins__) при парсинге путей и десериализации.

🐛 CVE-2025-9566, обнаруженная в Podman («podman kube play» до v5.6.1), приводит к Path Traversal. Проблема заключалась в том, что при повторном запуске команды обработка томов ConfigMap/Secret в playKubePod следовала по symlink внутри тома и записывала данные YAML в файл хоста. В исправлении добавлена проверка и блокировка символьных ссылок при инициализации томов.

🐛 CVE-2025-58358, обнаруженная в Markdownify (версии ниже 0.0.2), приводит к Command Injection. Проблема заключалась в несанкционированном использовании входных параметров в вызове child_process.exec, что позволяло внедрять произвольные системные команды. В исправлении опасная функция exec() была заменена на более безопасный вариант - execFile()

🐛 CVE-2025-58179, обнаруженная в Astro (версии с 11.0.3 по 12.6.5), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки URL в точке оптимизации изображений, что позволяло обойти ограничения на сторонние домены и обслуживать контент с уязвимого источника. В исправлении добавлена проверка URL с помощью внутреннего метода isRemotePath()