🔍 Наиболее интересные уязвимости

🐛 CVE-2025-67750, обнаруженная в Lightning Flow Scanner (версии 6.10.5 и ниже), приводит к Code Injection. Проблема заключалась в использовании new Function() для оценки строк выражений, что позволяло злоумышленнику внедрить вредоносное выражение в конфигурацию правила или метаданные потока. В исправлении удалены все виды использования new Function(), также добавлена проверка выражений.

🐛 CVE-2025-67728, обнаруженная в Fireshare (версии 1.2.30 и ниже), приводит к Remote Code Execution (RCE). Проблема заключалась в конкатенации вредоносного имени файла непосредственно в shell-команду, что позволяло выполнять системные команды. В исправлении перевели вызовы на безопасную форму без shell, а также добавили secure_filename() для нормализации пользовательских имён файлов.

🐛 CVE-2025-66492, обнаруженная в Masa CMS (версии 7.2.8 и ниже, 7.3.1–7.3.13, 7.4.0-alpha.1–7.4.8 и 7.5.0–7.5.1), приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что несанитизированное значение параметра ajax URL напрямую включалось в секцию <head> HTML-страницы. В исправлении rc.ajax, значение которого могло браться напрямую из параметра запроса, поменяли на request.ajax, контролируемый сервером.

🐛 CVE-2025-67644, обнаруженная в LangGraph SQLite Checkpoint (версии 3.0.0 и ниже), приводит к SQL Injection. Проблема заключалась в интерполяции ключей фильтра метаданных напрямую в f-строки без валидации в функции _metadata_predicate(). В исправлении добавили _validate_filter_key() с whitelist-регэксом для сегментов ключа, а также сделали LIMIT параметризованным (LIMIT ?)

🐛 CVE-2025-66645, обнаруженная в NiceGUI (версии 3.3.1 и ниже), приводит к Path Traversal. Проблема заключалась в отсутствии ограничения пути в функции App.add_media_files(), что позволяло удалённому злоумышленнику читать произвольные файлы на сервере. В исправлении добавили валидацию передаваемых значений с помощью методов .resolve() и .is_relative_to()