🔍 Наиболее интересные уязвимости

🐛 CVE-2025-61141, обнаруженная в sqls-server/sqls версии 0.2.28, приводит к OS Command Injection. Проблема заключалась в том, что функция openEditor() вызывала системную оболочку (sh -c / cmd /c) и передавала туда EDITOR и путь к конфигурационному файлу без экранирования, что позволяло выполнить произвольные команды. В исправлении вызов оболочки удалён: вместо конкатенации строки команды используется прямой запуск exec.Command(program, args...), убраны ветки c runtime и strings.Join, стандартные потоки оставлены безопасно привязанными к процессу.

🐛 CVE-2025-62726, выявленная в n8n до релиза 1.113.0, приводит к Remote Code Execution (RCE). Уязвимость заключалась в недостаточной изоляция выполнения git hook в среде n8n, что позволяет через вредоносный pre-commit hook добиться выполнение произвольного кода. В исправлении в Git Node введён «безопасный» режим для bare-репозиториев: в облаке поддержка bare отключена, для self-hosted добавлена переменная N8N_GIT_NODE_DISABLE_BARE_REPOS; при её включении (и в облаке) узел прокидывает в Git конфиг safe.bareRepository=explicit, что блокирует неявные bare-репозитории и предотвращает запуск hook-ов.

🐛 CVE-2025-55752, обнаруженная в Apache Tomcat в версиях 11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44 и 9.0.0.M11–9.0.108, приводит к Path Traversal. Проблема заключалась в том, что при переписывании URL нормализация выполнялась до декодирования, что позволяло обходить ограничения на доступ к /WEB-INF/ и /META-INF/, а при разрешённых PUT — загружать произвольные файлы. В исправлении в RewriteValve изменён порядок обработки: сначала URLDecoder.decode(...), затем RequestUtil.normalize(...); также скорректирована логика флагов QSA/QSD.

🐛 CVE-2025-54384, обнаруженная в CKAN до версий 2.10.9 и 2.11.4, приводит к Cross-site Scripting (XSS). Уязвимость заключалась в возможности обойти функцию санитизации пользовательских данных helpers.markdown_extract() и выполнить рендеринг вредоносного HTML. В исправлении регулярные выражения для «обрезки» HTML заменены на строгую очистку bleach_clean(..., strip=True).

🐛 CVE-2025-12060, обнаруженная в Keras (в версиях до 3.12.0), приводит к Path Traversal. Проблема заключается в отсутствиии установленного параметра filter в функции TarFile.extractall() и позволяла записывать файлы вне целевой директории через спец-ссылки в tar/zip. В исправлении параметр в функции TarFile.extractall() был установлен в значение filter='data', добавлена аналогичная фильтрация путей для zip, также вынесена общая безопасная логика в file_utils.extract_open_archive(), с проверками валидности ссылок с помощью is_path_in_dir().