🔍 Наиболее интересные уязвимости

🐛 CVE-2025-61141, обнаруженная в sqls-server/sqls версии 0.2.28, приводит к OS Command Injection. Проблема заключалась в том, что функция openEditor() вызывала системную оболочку (sh -c / cmd /c) и передавала туда EDITOR и путь к конфигурационному файлу без экранирования, что позволяло выполнить произвольные команды. В исправлении вызов оболочки удалён: вместо конкатенации строки команды используется прямой запуск exec.Command(program, args...), убраны ветки c runtime и strings.Join, стандартные потоки оставлены безопасно привязанными к процессу.

🐛 CVE-2025-62726, выявленная в n8n до релиза 1.113.0, приводит к Remote Code Execution (RCE). Уязвимость заключалась в недостаточной изоляция выполнения git hook в среде n8n, что позволяет через вредоносный pre-commit hook добиться выполнение произвольного кода. В исправлении в Git Node введён «безопасный» режим для bare-репозиториев: в облаке поддержка bare отключена, для self-hosted добавлена переменная N8N_GIT_NODE_DISABLE_BARE_REPOS; при её включении (и в облаке) узел прокидывает в Git конфиг safe.bareRepository=explicit, что блокирует неявные bare-репозитории и предотвращает запуск hook-ов.

🐛 CVE-2025-55752, обнаруженная в Apache Tomcat в версиях 11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44 и 9.0.0.M11–9.0.108, приводит к Path Traversal. Проблема заключалась в том, что при переписывании URL нормализация выполнялась до декодирования, что позволяло обходить ограничения на доступ к /WEB-INF/ и /META-INF/, а при разрешённых PUT — загружать произвольные файлы. В исправлении в RewriteValve изменён порядок обработки: сначала URLDecoder.decode(...), затем RequestUtil.normalize(...); также скорректирована логика флагов QSA/QSD.

🐛 CVE-2025-54384, обнаруженная в CKAN до версий 2.10.9 и 2.11.4, приводит к Cross-site Scripting (XSS). Уязвимость заключалась в возможности обойти функцию санитизации пользовательских данных helpers.markdown_extract() и выполнить рендеринг вредоносного HTML. В исправлении регулярные выражения для «обрезки» HTML заменены на строгую очистку bleach_clean(..., strip=True).

🐛 CVE-2025-12060, обнаруженная в Keras (в версиях до 3.12.0), приводит к Path Traversal. Проблема заключается в отсутствиии установленного параметра filter в функции TarFile.extractall() и позволяла записывать файлы вне целевой директории через спец-ссылки в tar/zip. В исправлении параметр в функции TarFile.extractall() был установлен в значение filter='data', добавлена аналогичная фильтрация путей для zip, также вынесена общая безопасная логика в file_utils.extract_open_archive(), с проверками валидности ссылок с помощью is_path_in_dir().

Вышла новая 2.7.0 версия наших IDE плагинов PT Application Inspector! 🚀

Главное в релизе:

🤖AI-рекомендации по исправлению уязвимостей — плагин для IntelliJ IDEA теперь генерирует умные рекомендации с примерами исправления прямо во вкладке "How to fix". Пока работает на YandexGPT, но это только начало!

💡Новые языки программирования:
- Scala
- Swift
- C/C++ и Objective-C (Windows и Linux)

Также в релизе:
- Интеграция с PT AI Enterprise Edition 5.2.0
- Обновленная схема .aiproj с поддержкой DslRulesRelativePath для Python, Java, PHP, JS и Go

Скачать плагины:
🔹 IntelliJ IDEA: [Marketplace] [GitHub Release]

🔹 VSCode: [Marketplace] [GitHub Release]

Обновляйтесь и делитесь впечатлениями! 💙

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-64439, обнаруженная в langgraph-checkpoint до версии 3.0.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности загрузки произвольных типов при десериализации пользовательских данных, что позволяло выполнять код. В исправлении удалены jsonplus_serde.loads/dumps(), десериализация ограничена allow-list’ом безопасных типов в serde/jsonplus.py, а метаданные checkpoint’ов читаются через безопасный json.loads().

🐛 CVE-2025-64495, выявленная в Open WebUI до версии 0.6.34, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена тем, что HTML, сгенерированный из промпта, попадал в innerHTML без санитизации, что позволяло исполнить произвольный JS в контексте приложения. В исправлении добавлена очистка контента через DOMPurify.sanitize(marked.parse(...)) в RichTextInput.svelte.

🐛 CVE-2025-64430, обнаруженная в Parse Server в версиях 4.2.0–7.5.3 и 8.0.0–8.3.1-alpha.1, приводит к Server-Side Request Forgery (SSRF). Уязвимость связана с функцией загрузки файлов, сервер извлекал данные по произвольному URI, заданному пользователем, что позволяло обращаться к внутренним ресурсам. В исправлении в FilesRouter.js отключена поддержка загрузки данных через URI.

🐛 CVE-2025-64459, выявленная в Django 5.1 до 5.1.14, 4.2 до 4.2.26 и 5.2 до 5.2.8, приводит к SQL Injection. Уязвимость возникала при передаче «словаря с распаковкой», позволяющего подменять коннектор выражения, через аргумент _connector в QuerySet.filter()/exclude()/get() и классе Q. В исправлении в django/db/models/query_utils.py добавлен явный список допустимых коннекторов (None, AND, OR, XOR) и проверка _connector с выбрасыванием ValueError при несовместимом значении.

🐛 CVE-2025-52662, обнаруженная в @nuxt/devtools до версии 2.6.4, приводит к Cross-site Scripting (XSS). Проблема заключалась в использовании innerHTML для вывода диагностических сообщений. В исправлении в packages/devtools/src/runtime/auth/index.html заменены все операции el.innerHTML = ... на безопасные el.textContent = ..., исключая интерпретацию HTML.