🔍 Наиболее интересные уязвимости

🐛 CVE-2025-64522, обнаруженная в Soft Serve (версии до 0.11.1), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в отсутствии валидации URL вебхуков, что позволяло администраторам репозиториев создавать вебхуки, нацеленные на внутренние сервисы и облачные метаданные. В исправлении добавлена валидация URL c помощью внутреннего метода ValidateWebhookURL().

🐛 CVE-2025-64512, обнаруженная в pdfminer (версии до 20251107), приводит к Deserialization of Untrusted Data. Проблема заключается в том, что пути до .pickle.gz-файлов, которые попадают в pickle.loads() для десериализации, формируются из пользовательских данных и не проходят валидацию, что позволяло передать путь до вредоносного архива и выполнить произвольный код. В исправлении добавлены нормализация путей с помощью os.path.realpath() и проверки на допустимость директорий и файлов.

🐛 CVE-2025-64501, обнаруженная в prosemirrortohtml (версии 0.2.0 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в недостаточной экранизации значений атрибутов HTML, что позволяло внедрять произвольный JavaScript-код. В исправлении добавлено экранирование значений атрибутов с помощью CGI.escapeHTML().

🐛 CVE-2025-64519, обнаруженная в TorrentPier (версии до 2.8.8), приводит к SQL Injection. Проблема заключалась в уязвимости в modcp.php, где параметр topic_id (t) не был должным образом экранирован, что позволяло модераторам выполнять произвольные SQL-запросы. В исправлении добавлено безусловное приведение входных данных к типу int.

🐛 CVE-2025-12764, обнаруженная в pgAdmin 4 в версиях до 9.9, приводит к LDAP Injection. Проблема заключалась в неэкранированной подстановке имени пользователя в LDAP-фильтр поиска, что позволяло вводить специальные символы и провоцировать аномальную нагрузку на DC/LDAP. В исправлении в web/pgadmin/authenticate/ldap.py фильтр построения поиска переведён на безопасную экранизацию escape_filter_chars(self.username).

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-65013, обнаруженная в LibreNMS (версии до 25.11.0), приводит к Cross-Site Scripting (XSS). Проблема заключалась в отражении параметра Image Name в HTTP-ответе без должного экранирования или очистки, что позволяет выполнить произвольный JavaScript в браузере жертвы. В исправлении добавлена санитизация выходных данных с помощью htmlentities().

🐛 CVE-2025-65103, обнаруженная в OpenSTAManager (версии до 2.9.5), приводит к SQL Injection. Проблема заключалась в том, что значение параметра display в методе retrieve() напрямую попадало в selectRaw() без проверки допустимости значений, что позволяло выполнить произвольный SQL код. В исправлении добавлена фильтрация пользовательских значений с помощью "белого" списка уже существующих значений названий столбцов таблицы.

🐛 CVE-2025-65108, обнаруженная в md-to-pdf (версии до 5.2.5), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности выполнении произвольного кода в блоке front-matter, который обрабатывался библиотекой gray-matter. В исправлении было корректно переопределено значение «engines» для gray-matter, чтобы при использовании javascript всегда происходило исключение вместо выполнения кода

🐛 CVE-2025-64759, обнаруженная в Homarr (версии до 1.43.3), приводит к Cross-Site Scripting (XSS). Проблема заключалась в рендеринге вредоносного загруженного SVG-файла, что позволяло выполнять произвольный JavaScript в браузере пользователя. В исправлении SVG, отдаваемые через /api/user-medias, проходят очистку с использованием isomorphic-dompurify, а для iframe-элемента, в который может встраиваться контент, добавлен жёсткий набор sandbox-атрибутовх.

🐛 CVE-2025-64756, обнаруженная в isaacs glob (версии 10.2.0 до 10.5.0 и 11.1.0), приводит к OS Command Injection. Проблема заключалась в передаче имен файлов с метасимволами оболочки в shell через shell: true в опции -c/--cmd, что позволяло выполнить произвольные команды. В исправлении логика CLI переработана: добавлены флаги для безопасной передачи позиционных аргументов, также имена файлов теперь накапливаются в массиве cmdArg и пути передаются как отдельные аргументы, а не как часть строки команды