🔍 Наиболее интересные уязвимости

🐛 CVE-2025-10096, обнаруженная в SimStudioAI sim (версии до 1.0.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в манипуляции аргументом filePath в файле apps/sim/app/api/files/parse/route.ts, что позволяло удалённо выполнять запросы от имени сервера. В исправлении добавлена проверка входных данных с помощью методов validateImageUrl() и validateProxyUrl().

🐛 CVE-2025-58745, обнаруженная в WeGIA (версия 3.4.11), приводит к Remote Code Execution (RCE). Проблема заключалась в проверке только MIME-типов для Excel-файлов на конечной точке /html/socio/sistema/controller/controla_xlsx.php, что позволяет обойти защиту и выполнить произвольный код. В исправлении "черный" список разрешений файлов был заменен на "белый".

🐛 CVE-2025-55727, обнаруженная в XWiki Remote Macros (версии с 1.0 до 1.26.5), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии экранирования параметра width в макросе column, что позволяло выполнить инъекцию XWiki синтаксиса и приводило к выполнению кода. В исправлении добавлено экранирование параметра с помощью $services.rendering.escape().

🐛 CVE-2025-58760, обнаруженная в Tautulli (версии до 2.15.3), приводит к Path Traversal. Проблема заключалась в отсутствии проверки пути в API /image, что позволяло неаутентифицированным пользователям читать произвольные файлы, включая tautulli.db и config.ini. В исправлении добавлена проверка относительности путей.

🐛 CVE-2025-55748, обнаруженная в xwiki (версии 4.2-milestone-2–16.10.6), приводит к Local File Inclusion (LFI). Проблема заключалась в отсутствии проверки пути в параметре resource, что позволяло читать конфигурационные файлы через ssx/sx endpoints. В исправлении была заменена прямая работа с ClassLoader#getResource* на безопасные обёртки ClassLoaderUtils.getResource*(prefix, name) с валидацией префикса и имени с формированием исключения IllegalArgumentException при отрицательном результате проверки.