До 70 % уязвимостей веб-приложений носят высокий или критический уровень, что приводит к утечкам, сбоям и прямым убыткам. Безопасная разработка помогает находить уязвимости до продакшена, избежать доработок, ускорить релизы и укрепить доверие клиентов.

На практикуме «Безопасность приложений для инженеров» от Positive Education мы поделимся проверенными методологиями и подходами. Эксперты программы – специалисты с многолетним опытом построения DevSecOps.

Команда экспертов поделится:
◦ дорожными картами внедрения безопасной разработки с учетом ролей и их ответственности
◦ методологиями по работе с SAST, DAST, SCA, моделированием угроз, фаззингом и интеграцией в CI/CD


На протяжении всего практикума участников будут сопровождать эксперты Positive Technologies. А все материалы останутся доступными в течение года – можно пересматривать и использовать реальных в проектах.

Подробнее о практикуме читайте на нашем сайте.

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-62422, обнаруженная в dataease (версии до 2.10.14), приводит к SQL Injection. Проблема заключалась в том, что параметр tableName интерфейса /de2api/datasetData/tableField напрямую подставлялся в SQL-строку без валидации, что позволяло выполнять произвольные SQL-команды. В исправлении была добавлена белый список имен таблиц: перед выполнением запроса значение tableName сверяется с результатом getTables()

🐛 CVE-2025-62597, обнаруженная в WeGIA (версии до 3.5.1), приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что эндпоинт /WeGIA/html/pessoa/editar_info_pessoal.php отражал содержимое параметра sql в ответе без экранирования, что позволяло выполнить произвольный JS-код в браузере пользователя. В исправлении был удалён вывод параметров запроса в ответ, добавлена централизованная обработка ошибок через Util::tratarException.

🐛 CVE-2025-62725, выявленная в Docker Compose в версиях до 2.40.2, приводит к Path Traversal. Проблема заключалась в том, что при работе с удалёнными OCI-артефактами Compose доверял аннотациям com.docker.compose.extends и com.docker.compose.envfile: значение из com.docker.compose.file/com.docker.compose.envfile конкатенировалось с локальным кэшем и файл записывался по сформированному пути, что позволяло выйти за пределы каталога кэша и перезаписывать произвольные файлы. В исправлении добавлены санитизация и валидация путей с помощью функции validatePathInBase()

🐛 CVE-2025-8709, обнаруженная в LangGraph (пакет langgraph-checkpoint-sqlite 2.0.10), приводит к SQL Injection. Уязвимость возникает из-за некорректной обработки ключей фильтрации, при которой используется прямая конкатенация строк без корректной параметризации, что позволяло произвольный SQL код. В исправлении добавлена проверка ключей фильтра регулярным выражением ^[a-zA-Z0-9_.-]+$ в методе _validate_filter_key()

🐛 CVE-2025-57325, обнаруженная в rollbar.js в версиях до 2.26.5 (≤ 2.26.4), приводит к Prototype Pollution. Проблема заключалась в том, что вспомогательная функция utility.set() позволяла записывать свойства в Object.prototype, что могло приводить как минимум к DoS и непредсказуемому поведению приложений. В исправлении в merge.js результирующий объект создаётся как Object.create(null), а в utility.set() перед разбором пути прототип целевого объекта обнуляется через Object.setPrototypeOf(obj, null)