🔍 Наиболее интересные уязвимости

🐛 CVE-2025-65013, обнаруженная в LibreNMS (версии до 25.11.0), приводит к Cross-Site Scripting (XSS). Проблема заключалась в отражении параметра Image Name в HTTP-ответе без должного экранирования или очистки, что позволяет выполнить произвольный JavaScript в браузере жертвы. В исправлении добавлена санитизация выходных данных с помощью htmlentities().

🐛 CVE-2025-65103, обнаруженная в OpenSTAManager (версии до 2.9.5), приводит к SQL Injection. Проблема заключалась в том, что значение параметра display в методе retrieve() напрямую попадало в selectRaw() без проверки допустимости значений, что позволяло выполнить произвольный SQL код. В исправлении добавлена фильтрация пользовательских значений с помощью "белого" списка уже существующих значений названий столбцов таблицы.

🐛 CVE-2025-65108, обнаруженная в md-to-pdf (версии до 5.2.5), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности выполнении произвольного кода в блоке front-matter, который обрабатывался библиотекой gray-matter. В исправлении было корректно переопределено значение «engines» для gray-matter, чтобы при использовании javascript всегда происходило исключение вместо выполнения кода

🐛 CVE-2025-64759, обнаруженная в Homarr (версии до 1.43.3), приводит к Cross-Site Scripting (XSS). Проблема заключалась в рендеринге вредоносного загруженного SVG-файла, что позволяло выполнять произвольный JavaScript в браузере пользователя. В исправлении SVG, отдаваемые через /api/user-medias, проходят очистку с использованием isomorphic-dompurify, а для iframe-элемента, в который может встраиваться контент, добавлен жёсткий набор sandbox-атрибутовх.

🐛 CVE-2025-64756, обнаруженная в isaacs glob (версии 10.2.0 до 10.5.0 и 11.1.0), приводит к OS Command Injection. Проблема заключалась в передаче имен файлов с метасимволами оболочки в shell через shell: true в опции -c/--cmd, что позволяло выполнить произвольные команды. В исправлении логика CLI переработана: добавлены флаги для безопасной передачи позиционных аргументов, также имена файлов теперь накапливаются в массиве cmdArg и пути передаются как отдельные аргументы, а не как часть строки команды

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-66026, обнаруженная в REDAXO (версии до 5.20.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр args[types] в представлении Mediapool отображался в информационном баннере без HTML-экранирования, что позволяло выполнять произвольный JavaScript. В исправлении добавлено экранирование с помощью rex_escape().

🐛 CVE-2025-66022, обнаруженная в FACTION (версии до 1.7.1), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии проверки аутентификации пользователей на эндпоинте /portal/AppStoreDashboard, что позволяло загружать вредоносные расширения и выполнить произвольный код. В исправлении добавлена проверка аутентификации и прав доступа.

🐛 CVE-2025-66205, обнаруженная в Frappe (версии до 15.86.0 и 14.99.2), приводит к SQL Injection. Проблема заключалась в отсутствии валидации параметров на определённой конечной точке, что позволяло извлечь чувствительную информация из базы данных. В исправлении добавлена валидация параметров с помощью внутренних методов _check_sql_token() и _find_subqueries().

🐛 CVE-2025-64428, обнаруженная в Dataease (версии до 2.10.17), приводит к JNDI injection. Проблема заключалась в недостаточной фильтрации схем iiop, corbaname и iiopname, что позволяло злоумышленникам выполнять произвольные команды. В исправлении опасные схемы были добавлены в "черный" список.

🐛 CVE-2025-66295, обнаруженная в Grav (до версии 1.8.0-beta.27), приводит к Path Traversal. Проблема заключалась в том, что при создании нового пользователя через Admin UI имя пользователя с последовательностями обхода пути позволяло записывать YAML-файл учетной записи за пределами user/accounts/. В исправлении добавлены ограничения на допустимые символы в имени пользователя с помощью внутреннего метода isValidUsername().