Если вы, или ваши коллеги, до сих пор не знаете, с чего начать свой путь в безопасной разработке, то начать можно прямо с этого подкаста 🙂

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-54123, обнаруженная в SpectoLabs Hoverfly (версии до 1.12.0), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии валидации и экранирования пользовательского ввода в endpoint /api/v2/hoverfly/middleware, что позволяло передавать команды напрямую в систему. В исправлении по умолчанию отключили API установки middleware.

🐛 CVE-2025-58765, обнаруженная в webrecorder (wabac.js v2.23.10 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр requestURL напрямую вставлялся в HTML форму без экранирования или санитизации. В исправлении добавлена сериализация значения requestURL перед вставкой в скрипт с помощью JSON.stringify().

🐛 CVE-2025-58766, обнаруженная в dyad-sh (версии v0.19.0 и ранее), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии изоляции preview window, что позволяло вредоносному web-контенту выполнять произвольный код вне Docker-контейнера. В исправлении реализована строгая изоляция preview window и ограничение доступа к системным ресурсам с помощью установки атрибута sandbox тэга iframe.

🐛 CVE-2025-59340, обнаруженная в HubSpot jinjava (версии до 2.8.1), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности десериализации произвольных классов через mapper.getTypeFactory().constructFromCanonical(), что позволяло обойти песочницу и создавать опасные объекты. В исправлении добавлены ограничения на десериализацию произвольных объектов с помощью метода isRestrictedClass().

🐛 CVE-2025-59424, обнаруженная в Kovah LinkAce (до 2.3.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии санитизации поля username перед выводом в журнале аудита, что позволяло внедрять вредоносный JavaScript. В исправлении добавлена валидация символов, из которых может состоять username, с помощью свойства alpha_dash.