Известный физический феномен: время замедляется по мере приближения правильной части пятницы.
Есть гипотеза, что с мемами становится возможен квантовый скачок, позволяющий мгновенно оказаться в правильной части, вопреки описанному феномену.
Давайте же скорее её проверим🙂
Есть гипотеза, что с мемами становится возможен квантовый скачок, позволяющий мгновенно оказаться в правильной части, вопреки описанному феномену.
Давайте же скорее её проверим
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁13🤣6👍5❤1💯1
🔍 Наиболее интересные уязвимости
🐛 CVE-2025-65013, обнаруженная в LibreNMS (версии до 25.11.0), приводит к Cross-Site Scripting (XSS). Проблема заключалась в отражении параметра
🐛 CVE-2025-65103, обнаруженная в OpenSTAManager (версии до 2.9.5), приводит к SQL Injection. Проблема заключалась в том, что значение параметра
🐛 CVE-2025-65108, обнаруженная в md-to-pdf (версии до 5.2.5), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности выполнении произвольного кода в блоке
🐛 CVE-2025-64759, обнаруженная в Homarr (версии до 1.43.3), приводит к Cross-Site Scripting (XSS). Проблема заключалась в рендеринге вредоносного загруженного SVG-файла, что позволяло выполнять произвольный JavaScript в браузере пользователя. В исправлении SVG, отдаваемые через
🐛 CVE-2025-64756, обнаруженная в isaacs glob (версии 10.2.0 до 10.5.0 и 11.1.0), приводит к OS Command Injection. Проблема заключалась в передаче имен файлов с метасимволами оболочки в shell через
🐛 CVE-2025-65013, обнаруженная в LibreNMS (версии до 25.11.0), приводит к Cross-Site Scripting (XSS). Проблема заключалась в отражении параметра
Image Name в HTTP-ответе без должного экранирования или очистки, что позволяет выполнить произвольный JavaScript в браузере жертвы. В исправлении добавлена санитизация выходных данных с помощью htmlentities().🐛 CVE-2025-65103, обнаруженная в OpenSTAManager (версии до 2.9.5), приводит к SQL Injection. Проблема заключалась в том, что значение параметра
display в методе retrieve() напрямую попадало в selectRaw() без проверки допустимости значений, что позволяло выполнить произвольный SQL код. В исправлении добавлена фильтрация пользовательских значений с помощью "белого" списка уже существующих значений названий столбцов таблицы.🐛 CVE-2025-65108, обнаруженная в md-to-pdf (версии до 5.2.5), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности выполнении произвольного кода в блоке
front-matter, который обрабатывался библиотекой gray-matter. В исправлении было корректно переопределено значение «engines» для gray-matter, чтобы при использовании javascript всегда происходило исключение вместо выполнения кода🐛 CVE-2025-64759, обнаруженная в Homarr (версии до 1.43.3), приводит к Cross-Site Scripting (XSS). Проблема заключалась в рендеринге вредоносного загруженного SVG-файла, что позволяло выполнять произвольный JavaScript в браузере пользователя. В исправлении SVG, отдаваемые через
/api/user-medias, проходят очистку с использованием isomorphic-dompurify, а для iframe-элемента, в который может встраиваться контент, добавлен жёсткий набор sandbox-атрибутовх.🐛 CVE-2025-64756, обнаруженная в isaacs glob (версии 10.2.0 до 10.5.0 и 11.1.0), приводит к OS Command Injection. Проблема заключалась в передаче имен файлов с метасимволами оболочки в shell через
shell: true в опции -c/--cmd, что позволяло выполнить произвольные команды. В исправлении логика CLI переработана: добавлены флаги для безопасной передачи позиционных аргументов, также имена файлов теперь накапливаются в массиве cmdArg и пути передаются как отдельные аргументы, а не как часть строки команды❤1👍1
Админу, конечно, нет прощения... с другой стороны, если сегодня нужно работать, а завтра не нужно, то это ведь выглядит, как пятница, так?
Всем чудесных выходных!🤗 (кроме админа 😢 ))
Всем чудесных выходных!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🎉5🤣5❤🔥4🔥2😁2
🔍 Наиболее интересные уязвимости
🐛 CVE-2025-66026, обнаруженная в REDAXO (версии до 5.20.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр
🐛 CVE-2025-66022, обнаруженная в FACTION (версии до 1.7.1), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии проверки аутентификации пользователей на эндпоинте
🐛 CVE-2025-66205, обнаруженная в Frappe (версии до 15.86.0 и 14.99.2), приводит к SQL Injection. Проблема заключалась в отсутствии валидации параметров на определённой конечной точке, что позволяло извлечь чувствительную информация из базы данных. В исправлении добавлена валидация параметров с помощью внутренних методов
🐛 CVE-2025-64428, обнаруженная в Dataease (версии до 2.10.17), приводит к JNDI injection. Проблема заключалась в недостаточной фильтрации схем
🐛 CVE-2025-66295, обнаруженная в Grav (до версии 1.8.0-beta.27), приводит к Path Traversal. Проблема заключалась в том, что при создании нового пользователя через Admin UI имя пользователя с последовательностями обхода пути позволяло записывать YAML-файл учетной записи за пределами
🐛 CVE-2025-66026, обнаруженная в REDAXO (версии до 5.20.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр
args[types] в представлении Mediapool отображался в информационном баннере без HTML-экранирования, что позволяло выполнять произвольный JavaScript. В исправлении добавлено экранирование с помощью rex_escape().🐛 CVE-2025-66022, обнаруженная в FACTION (версии до 1.7.1), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии проверки аутентификации пользователей на эндпоинте
/portal/AppStoreDashboard, что позволяло загружать вредоносные расширения и выполнить произвольный код. В исправлении добавлена проверка аутентификации и прав доступа.🐛 CVE-2025-66205, обнаруженная в Frappe (версии до 15.86.0 и 14.99.2), приводит к SQL Injection. Проблема заключалась в отсутствии валидации параметров на определённой конечной точке, что позволяло извлечь чувствительную информация из базы данных. В исправлении добавлена валидация параметров с помощью внутренних методов
_check_sql_token() и _find_subqueries().🐛 CVE-2025-64428, обнаруженная в Dataease (версии до 2.10.17), приводит к JNDI injection. Проблема заключалась в недостаточной фильтрации схем
iiop, corbaname и iiopname, что позволяло злоумышленникам выполнять произвольные команды. В исправлении опасные схемы были добавлены в "черный" список.🐛 CVE-2025-66295, обнаруженная в Grav (до версии 1.8.0-beta.27), приводит к Path Traversal. Проблема заключалась в том, что при создании нового пользователя через Admin UI имя пользователя с последовательностями обхода пути позволяло записывать YAML-файл учетной записи за пределами
user/accounts/. В исправлении добавлены ограничения на допустимые символы в имени пользователя с помощью внутреннего метода isValidUsername().👍4🔥2
Forwarded from Positive Technologies
React — один из самых популярных открытых фреймворков для веб-разработки. С его помощью созданы миллионы сайтов, корпоративных сервисов, интернет-магазинов и других приложений — все, чем мы пользуемся каждый день. Чтобы такие приложения работали быстрее, часть логики переносится на сервер через механизм React Server Components (RSC). И именно там 3 декабря была обнаружена критическая уязвимость PT-2025-48817 (CVE-2025-55182).
💡 Недостаток безопасности связан с тем, как серверная часть React принимает данные от клиента: сервер получает пакет данных и должен убедиться, что внутри нет ничего вредоносного. Но из-за ошибки он фактически не проверяет содержимое как следует. В результате хакер может отправить специальный запрос, который сервер воспримет как легитимный и выполнит команды, скрытые внутри.
Злоумышленник потенциально может без авторизации выполнить на сервере свой код — достаточно специально составленного HTTP-запроса и приложения, использующего функции для выполнения кода. Это может дать ему полный доступ к серверу: возможность менять файлы, получать данные и выполнять любые другие действия. Более того, уязвимость затрагивает все фреймворки, основанные на React, включая Next.js, что еще больше расширяет поверхность атаки, отмечает Егор Подмоков, руководитель отдела экспертизы MaxPatrol VM.
В качестве аналогии можно представить охранника, которому сотрудники передают записки с командами вроде «включи свет» или «открой кабинет». Охранник должен проверять подпись, но из-за ошибки перестал это делать и исполняет любую записку. Хакеру достаточно подбросить свою — «открой серверную и дай доступ ко всему», — и охранник это выполнит.
⚠️ Проблема получила максимальную оценку опасности — 10 из 10 по CVSS — и требует срочного устранения.
Крупные облачные провайдеры уже добавили правила для блокировки атак в своих продуктах класса web application firewall. Наш продукт PT Application Firewall защищает от эксплуатации обнаруженной уязвимости: команда выпустила пользовательское правило, которое усиливает штатную защиту и помогает детектировать наиболее распространенные на сегодня векторы на ранней стадии развития атаки.
Для устранения недостатка необходимо обновить React и связанные пакеты (в том числе транзитивные зависимости) до безопасных версий: 19.0.1, 19.1.2, 19.2.1. Если используется Next.js — обновить до релизов, где уязвимость исправлена (например, 15.0.5, 15.1.9, 15.2.6 и выше; для ветки 16 — 16.0.7; для ветки 14 необходима миграция на версии 15 или 16).
Уязвимость уже получила внимание всего профессионального сообщества, и единственный способ снизить риски — оперативно установить обновления 🤝
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1🎉1🤣1
Админ два раза на одни и те же грабли не наступает. Мемы на месте? Теперь очередь за вами: пятница сама себя правильно не проведет, знаете ли 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2😁20❤10🤣5🔥1🤯1