Вышла новая 2.7.0 версия наших IDE плагинов PT Application Inspector! 🚀

Главное в релизе:

🤖AI-рекомендации по исправлению уязвимостей — плагин для IntelliJ IDEA теперь генерирует умные рекомендации с примерами исправления прямо во вкладке "How to fix". Пока работает на YandexGPT, но это только начало!

💡Новые языки программирования:
- Scala
- Swift
- C/C++ и Objective-C (Windows и Linux)

Также в релизе:
- Интеграция с PT AI Enterprise Edition 5.2.0
- Обновленная схема .aiproj с поддержкой DslRulesRelativePath для Python, Java, PHP, JS и Go

Скачать плагины:
🔹 IntelliJ IDEA: [Marketplace] [GitHub Release]

🔹 VSCode: [Marketplace] [GitHub Release]

Обновляйтесь и делитесь впечатлениями! 💙

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-64439, обнаруженная в langgraph-checkpoint до версии 3.0.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности загрузки произвольных типов при десериализации пользовательских данных, что позволяло выполнять код. В исправлении удалены jsonplus_serde.loads/dumps(), десериализация ограничена allow-list’ом безопасных типов в serde/jsonplus.py, а метаданные checkpoint’ов читаются через безопасный json.loads().

🐛 CVE-2025-64495, выявленная в Open WebUI до версии 0.6.34, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена тем, что HTML, сгенерированный из промпта, попадал в innerHTML без санитизации, что позволяло исполнить произвольный JS в контексте приложения. В исправлении добавлена очистка контента через DOMPurify.sanitize(marked.parse(...)) в RichTextInput.svelte.

🐛 CVE-2025-64430, обнаруженная в Parse Server в версиях 4.2.0–7.5.3 и 8.0.0–8.3.1-alpha.1, приводит к Server-Side Request Forgery (SSRF). Уязвимость связана с функцией загрузки файлов, сервер извлекал данные по произвольному URI, заданному пользователем, что позволяло обращаться к внутренним ресурсам. В исправлении в FilesRouter.js отключена поддержка загрузки данных через URI.

🐛 CVE-2025-64459, выявленная в Django 5.1 до 5.1.14, 4.2 до 4.2.26 и 5.2 до 5.2.8, приводит к SQL Injection. Уязвимость возникала при передаче «словаря с распаковкой», позволяющего подменять коннектор выражения, через аргумент _connector в QuerySet.filter()/exclude()/get() и классе Q. В исправлении в django/db/models/query_utils.py добавлен явный список допустимых коннекторов (None, AND, OR, XOR) и проверка _connector с выбрасыванием ValueError при несовместимом значении.

🐛 CVE-2025-52662, обнаруженная в @nuxt/devtools до версии 2.6.4, приводит к Cross-site Scripting (XSS). Проблема заключалась в использовании innerHTML для вывода диагностических сообщений. В исправлении в packages/devtools/src/runtime/auth/index.html заменены все операции el.innerHTML = ... на безопасные el.textContent = ..., исключая интерпретацию HTML.