Вышла новая 2.7.0 версия наших IDE плагинов PT Application Inspector! 🚀
Главное в релизе:
🤖AI-рекомендации по исправлению уязвимостей — плагин для IntelliJ IDEA теперь генерирует умные рекомендации с примерами исправления прямо во вкладке "How to fix". Пока работает на YandexGPT, но это только начало!
💡Новые языки программирования:
- Scala
- Swift
- C/C++ и Objective-C (Windows и Linux)
Также в релизе:
- Интеграция с PT AI Enterprise Edition 5.2.0
- Обновленная схема .aiproj с поддержкой DslRulesRelativePath для Python, Java, PHP, JS и Go
Скачать плагины:
🔹 IntelliJ IDEA: [Marketplace] [GitHub Release]
🔹 VSCode: [Marketplace] [GitHub Release]
Обновляйтесь и делитесь впечатлениями! 💙
Главное в релизе:
🤖AI-рекомендации по исправлению уязвимостей — плагин для IntelliJ IDEA теперь генерирует умные рекомендации с примерами исправления прямо во вкладке "How to fix". Пока работает на YandexGPT, но это только начало!
💡Новые языки программирования:
- Scala
- Swift
- C/C++ и Objective-C (Windows и Linux)
Также в релизе:
- Интеграция с PT AI Enterprise Edition 5.2.0
- Обновленная схема .aiproj с поддержкой DslRulesRelativePath для Python, Java, PHP, JS и Go
Скачать плагины:
🔹 IntelliJ IDEA: [Marketplace] [GitHub Release]
🔹 VSCode: [Marketplace] [GitHub Release]
Обновляйтесь и делитесь впечатлениями! 💙
This media is not supported in your browser
VIEW IN TELEGRAM
🔥8❤2👍2
29 ноября пройдет олимпиада по программированию от Positive Technologies для разработчиков и студентов технических направлений.
На олимпиаде каждый участник пишет свой код, а после мы собираемся на отдельной онлайн-встрече, чтобы посмотреть на решения друг друга и вместе их обсудить.
Всего будет 7 задач на алгоритмы разного уровня сложности, поэтому каждый сможет попробовать свои силы. На решение отводится три часа. Язык и стек не важны. Главное — желание находить нестандартные решения.
Топ причин участвовать:
⬆️ В поисках красивого решения можно прокачать свои навыки и выйти на новый уровень.🌎 Наш контест — это не классическое соревнование, а площадка для творчества, общения, обмена опытом и взаимной поддержки.💬 Полезные знакомства с программистами, аналитиками и инженерами из разных компаний, а также с экспертами Позитива, которые отвечают за разработку продуктов.🥳 Олимпиада — это эмоции, азарт, озарение и удовольствие от поиска решений.🎁 Мерч и призовой фонд в размере 600 000 рублей.
Приходите на контест в Москве на Хлебозавод №9, арт-пространство «Котельная», или решайте задачи онлайн из любой удобной вам локации.
Регистрируйтесь на сайте и делитесь ссылкой с друзьями!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
🔍 Наиболее интересные уязвимости
🐛 CVE-2025-64439, обнаруженная в langgraph-checkpoint до версии 3.0.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности загрузки произвольных типов при десериализации пользовательских данных, что позволяло выполнять код. В исправлении удалены
🐛 CVE-2025-64495, выявленная в Open WebUI до версии 0.6.34, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена тем, что HTML, сгенерированный из промпта, попадал в
🐛 CVE-2025-64430, обнаруженная в Parse Server в версиях 4.2.0–7.5.3 и 8.0.0–8.3.1-alpha.1, приводит к Server-Side Request Forgery (SSRF). Уязвимость связана с функцией загрузки файлов, сервер извлекал данные по произвольному URI, заданному пользователем, что позволяло обращаться к внутренним ресурсам. В исправлении в
🐛 CVE-2025-64459, выявленная в Django 5.1 до 5.1.14, 4.2 до 4.2.26 и 5.2 до 5.2.8, приводит к SQL Injection. Уязвимость возникала при передаче «словаря с распаковкой», позволяющего подменять коннектор выражения, через аргумент
🐛 CVE-2025-52662, обнаруженная в @nuxt/devtools до версии 2.6.4, приводит к Cross-site Scripting (XSS). Проблема заключалась в использовании innerHTML для вывода диагностических сообщений. В исправлении в
🐛 CVE-2025-64439, обнаруженная в langgraph-checkpoint до версии 3.0.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности загрузки произвольных типов при десериализации пользовательских данных, что позволяло выполнять код. В исправлении удалены
jsonplus_serde.loads/dumps(), десериализация ограничена allow-list’ом безопасных типов в serde/jsonplus.py, а метаданные checkpoint’ов читаются через безопасный json.loads(). 🐛 CVE-2025-64495, выявленная в Open WebUI до версии 0.6.34, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена тем, что HTML, сгенерированный из промпта, попадал в
innerHTML без санитизации, что позволяло исполнить произвольный JS в контексте приложения. В исправлении добавлена очистка контента через DOMPurify.sanitize(marked.parse(...)) в RichTextInput.svelte. 🐛 CVE-2025-64430, обнаруженная в Parse Server в версиях 4.2.0–7.5.3 и 8.0.0–8.3.1-alpha.1, приводит к Server-Side Request Forgery (SSRF). Уязвимость связана с функцией загрузки файлов, сервер извлекал данные по произвольному URI, заданному пользователем, что позволяло обращаться к внутренним ресурсам. В исправлении в
FilesRouter.js отключена поддержка загрузки данных через URI. 🐛 CVE-2025-64459, выявленная в Django 5.1 до 5.1.14, 4.2 до 4.2.26 и 5.2 до 5.2.8, приводит к SQL Injection. Уязвимость возникала при передаче «словаря с распаковкой», позволяющего подменять коннектор выражения, через аргумент
_connector в QuerySet.filter()/exclude()/get() и классе Q. В исправлении в django/db/models/query_utils.py добавлен явный список допустимых коннекторов (None, AND, OR, XOR) и проверка _connector с выбрасыванием ValueError при несовместимом значении. 🐛 CVE-2025-52662, обнаруженная в @nuxt/devtools до версии 2.6.4, приводит к Cross-site Scripting (XSS). Проблема заключалась в использовании innerHTML для вывода диагностических сообщений. В исправлении в
packages/devtools/src/runtime/auth/index.html заменены все операции el.innerHTML = ... на безопасные el.textContent = ..., исключая интерпретацию HTML.👍4❤1
Forwarded from Искусство. Код... ИИ?
AppSec.png
752.6 KB
Давно хотел поделиться этой диаграммой. Впервые появившись в серии публикаций «Six Pillars of DevSecOps», она прошла некоторые эволюционные этапы, один из которых присутствует у вашего покорного слуги в офисе, в качестве подаренного коллегами на ДР визуала на пол стены 🎨
Комментировать тут особо нечего. Идеальный Secure SDLC, к которому надо стремиться. Хотя, тут ещё есть что добавить, как минимум — в плане защиты от supply-chain атак, как по мне.
Каждому этапу разработки сопоставлены триггеры. Каждому триггеру — соответствующие действия или инструментарий, обеспечивающие безопасность на данном этапе.
Простая и наглядная иллюстрация, которая будет постоянно напоминать о том, почему у вас в проекте все плохо с безопасностью 😁
Комментировать тут особо нечего. Идеальный Secure SDLC, к которому надо стремиться. Хотя, тут ещё есть что добавить, как минимум — в плане защиты от supply-chain атак, как по мне.
Каждому этапу разработки сопоставлены триггеры. Каждому триггеру — соответствующие действия или инструментарий, обеспечивающие безопасность на данном этапе.
Простая и наглядная иллюстрация, которая будет постоянно напоминать о том, почему у вас в проекте все плохо с безопасностью 😁
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Мемы, как напоминание того, что на правильную часть пятницы времени остаётся все меньше и меньше 🙂
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15🔥4❤2🤣1
🔍 Наиболее интересные уязвимости
🐛 CVE-2025-64522, обнаруженная в Soft Serve (версии до 0.11.1), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в отсутствии валидации URL вебхуков, что позволяло администраторам репозиториев создавать вебхуки, нацеленные на внутренние сервисы и облачные метаданные. В исправлении добавлена валидация URL c помощью внутреннего метода
🐛 CVE-2025-64512, обнаруженная в pdfminer (версии до 20251107), приводит к Deserialization of Untrusted Data. Проблема заключается в том, что пути до .pickle.gz-файлов, которые попадают в
🐛 CVE-2025-64501, обнаруженная в prosemirrortohtml (версии 0.2.0 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в недостаточной экранизации значений атрибутов HTML, что позволяло внедрять произвольный JavaScript-код. В исправлении добавлено экранирование значений атрибутов с помощью
🐛 CVE-2025-64519, обнаруженная в TorrentPier (версии до 2.8.8), приводит к SQL Injection. Проблема заключалась в уязвимости в
🐛 CVE-2025-12764, обнаруженная в pgAdmin 4 в версиях до 9.9, приводит к LDAP Injection. Проблема заключалась в неэкранированной подстановке имени пользователя в LDAP-фильтр поиска, что позволяло вводить специальные символы и провоцировать аномальную нагрузку на DC/LDAP. В исправлении в
🐛 CVE-2025-64522, обнаруженная в Soft Serve (версии до 0.11.1), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в отсутствии валидации URL вебхуков, что позволяло администраторам репозиториев создавать вебхуки, нацеленные на внутренние сервисы и облачные метаданные. В исправлении добавлена валидация URL c помощью внутреннего метода
ValidateWebhookURL().🐛 CVE-2025-64512, обнаруженная в pdfminer (версии до 20251107), приводит к Deserialization of Untrusted Data. Проблема заключается в том, что пути до .pickle.gz-файлов, которые попадают в
pickle.loads() для десериализации, формируются из пользовательских данных и не проходят валидацию, что позволяло передать путь до вредоносного архива и выполнить произвольный код. В исправлении добавлены нормализация путей с помощью os.path.realpath() и проверки на допустимость директорий и файлов.🐛 CVE-2025-64501, обнаруженная в prosemirrortohtml (версии 0.2.0 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в недостаточной экранизации значений атрибутов HTML, что позволяло внедрять произвольный JavaScript-код. В исправлении добавлено экранирование значений атрибутов с помощью
CGI.escapeHTML().🐛 CVE-2025-64519, обнаруженная в TorrentPier (версии до 2.8.8), приводит к SQL Injection. Проблема заключалась в уязвимости в
modcp.php, где параметр topic_id (t) не был должным образом экранирован, что позволяло модераторам выполнять произвольные SQL-запросы. В исправлении добавлено безусловное приведение входных данных к типу int.🐛 CVE-2025-12764, обнаруженная в pgAdmin 4 в версиях до 9.9, приводит к LDAP Injection. Проблема заключалась в неэкранированной подстановке имени пользователя в LDAP-фильтр поиска, что позволяло вводить специальные символы и провоцировать аномальную нагрузку на DC/LDAP. В исправлении в
web/pgadmin/authenticate/ldap.py фильтр построения поиска переведён на безопасную экранизацию escape_filter_chars(self.username).👍2
На вебинаре 20 ноября в 14:00 команда продукта расскажет, как с его помощью находить уязвимости и ошибки в коде и обеспечивать кибербезопасность приложений с самого начала их жизненного цикла.
Присоединяйтесь, чтобы разобраться:
Мы поделимся примерами использования функциональности веток Git при работе с продуктом в масштабе нескольких команд и покажем, как группировать правила анализа для повышения гибкости и качества сканирования в разных стримах и проектах.
Регистрируйтесь и подключайтесь, если хотите ускорить DevSecOps и разгрузить свои команды R&D по максимуму!
#PTApplicationInspector
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
В статье рассматриваются ключевые схемы выдачи и обработки access-token в архитектурах с микросервисами. Узнайте, как API Gateway может стать узловой точкой безопасности, и какие архитектурные компромиссы ждут разработчиков: https://habr.com/ru/articles/872918/
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥2👍1
Известный физический феномен: время замедляется по мере приближения правильной части пятницы.
Есть гипотеза, что с мемами становится возможен квантовый скачок, позволяющий мгновенно оказаться в правильной части, вопреки описанному феномену.
Давайте же скорее её проверим🙂
Есть гипотеза, что с мемами становится возможен квантовый скачок, позволяющий мгновенно оказаться в правильной части, вопреки описанному феномену.
Давайте же скорее её проверим
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁13🤣6👍5❤1💯1