До 70 % уязвимостей веб-приложений носят высокий или критический уровень, что приводит к утечкам, сбоям и прямым убыткам. Безопасная разработка помогает находить уязвимости до продакшена, избежать доработок, ускорить релизы и укрепить доверие клиентов.

На практикуме «Безопасность приложений для инженеров» от Positive Education мы поделимся проверенными методологиями и подходами. Эксперты программы – специалисты с многолетним опытом построения DevSecOps.

Команда экспертов поделится:
◦ дорожными картами внедрения безопасной разработки с учетом ролей и их ответственности
◦ методологиями по работе с SAST, DAST, SCA, моделированием угроз, фаззингом и интеграцией в CI/CD


На протяжении всего практикума участников будут сопровождать эксперты Positive Technologies. А все материалы останутся доступными в течение года – можно пересматривать и использовать реальных в проектах.

Подробнее о практикуме читайте на нашем сайте.

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-62422, обнаруженная в dataease (версии до 2.10.14), приводит к SQL Injection. Проблема заключалась в том, что параметр tableName интерфейса /de2api/datasetData/tableField напрямую подставлялся в SQL-строку без валидации, что позволяло выполнять произвольные SQL-команды. В исправлении была добавлена белый список имен таблиц: перед выполнением запроса значение tableName сверяется с результатом getTables()

🐛 CVE-2025-62597, обнаруженная в WeGIA (версии до 3.5.1), приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что эндпоинт /WeGIA/html/pessoa/editar_info_pessoal.php отражал содержимое параметра sql в ответе без экранирования, что позволяло выполнить произвольный JS-код в браузере пользователя. В исправлении был удалён вывод параметров запроса в ответ, добавлена централизованная обработка ошибок через Util::tratarException.

🐛 CVE-2025-62725, выявленная в Docker Compose в версиях до 2.40.2, приводит к Path Traversal. Проблема заключалась в том, что при работе с удалёнными OCI-артефактами Compose доверял аннотациям com.docker.compose.extends и com.docker.compose.envfile: значение из com.docker.compose.file/com.docker.compose.envfile конкатенировалось с локальным кэшем и файл записывался по сформированному пути, что позволяло выйти за пределы каталога кэша и перезаписывать произвольные файлы. В исправлении добавлены санитизация и валидация путей с помощью функции validatePathInBase()

🐛 CVE-2025-8709, обнаруженная в LangGraph (пакет langgraph-checkpoint-sqlite 2.0.10), приводит к SQL Injection. Уязвимость возникает из-за некорректной обработки ключей фильтрации, при которой используется прямая конкатенация строк без корректной параметризации, что позволяло произвольный SQL код. В исправлении добавлена проверка ключей фильтра регулярным выражением ^[a-zA-Z0-9_.-]+$ в методе _validate_filter_key()

🐛 CVE-2025-57325, обнаруженная в rollbar.js в версиях до 2.26.5 (≤ 2.26.4), приводит к Prototype Pollution. Проблема заключалась в том, что вспомогательная функция utility.set() позволяла записывать свойства в Object.prototype, что могло приводить как минимум к DoS и непредсказуемому поведению приложений. В исправлении в merge.js результирующий объект создаётся как Object.create(null), а в utility.set() перед разбором пути прототип целевого объекта обнуляется через Object.setPrototypeOf(obj, null)

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-61141, обнаруженная в sqls-server/sqls версии 0.2.28, приводит к OS Command Injection. Проблема заключалась в том, что функция openEditor() вызывала системную оболочку (sh -c / cmd /c) и передавала туда EDITOR и путь к конфигурационному файлу без экранирования, что позволяло выполнить произвольные команды. В исправлении вызов оболочки удалён: вместо конкатенации строки команды используется прямой запуск exec.Command(program, args...), убраны ветки c runtime и strings.Join, стандартные потоки оставлены безопасно привязанными к процессу.

🐛 CVE-2025-62726, выявленная в n8n до релиза 1.113.0, приводит к Remote Code Execution (RCE). Уязвимость заключалась в недостаточной изоляция выполнения git hook в среде n8n, что позволяет через вредоносный pre-commit hook добиться выполнение произвольного кода. В исправлении в Git Node введён «безопасный» режим для bare-репозиториев: в облаке поддержка bare отключена, для self-hosted добавлена переменная N8N_GIT_NODE_DISABLE_BARE_REPOS; при её включении (и в облаке) узел прокидывает в Git конфиг safe.bareRepository=explicit, что блокирует неявные bare-репозитории и предотвращает запуск hook-ов.

🐛 CVE-2025-55752, обнаруженная в Apache Tomcat в версиях 11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44 и 9.0.0.M11–9.0.108, приводит к Path Traversal. Проблема заключалась в том, что при переписывании URL нормализация выполнялась до декодирования, что позволяло обходить ограничения на доступ к /WEB-INF/ и /META-INF/, а при разрешённых PUT — загружать произвольные файлы. В исправлении в RewriteValve изменён порядок обработки: сначала URLDecoder.decode(...), затем RequestUtil.normalize(...); также скорректирована логика флагов QSA/QSD.

🐛 CVE-2025-54384, обнаруженная в CKAN до версий 2.10.9 и 2.11.4, приводит к Cross-site Scripting (XSS). Уязвимость заключалась в возможности обойти функцию санитизации пользовательских данных helpers.markdown_extract() и выполнить рендеринг вредоносного HTML. В исправлении регулярные выражения для «обрезки» HTML заменены на строгую очистку bleach_clean(..., strip=True).

🐛 CVE-2025-12060, обнаруженная в Keras (в версиях до 3.12.0), приводит к Path Traversal. Проблема заключается в отсутствиии установленного параметра filter в функции TarFile.extractall() и позволяла записывать файлы вне целевой директории через спец-ссылки в tar/zip. В исправлении параметр в функции TarFile.extractall() был установлен в значение filter='data', добавлена аналогичная фильтрация путей для zip, также вынесена общая безопасная логика в file_utils.extract_open_archive(), с проверками валидности ссылок с помощью is_path_in_dir().