🔍 Наиболее интересные уязвимости

🐛 CVE-2025-65950, обнаруженная в WBCE CMS (версии 1.6.4 и ниже), приводит к SQL Injection. Проблема заключалась в неправильной обработке параметра groups в файле admin/users/save.php, что позволяло выполнять произвольные SQL-запросы. В исправлении добавили «whitelist» по группам: сервер сверяет отправленные groups[] с группами текущего пользователя из сессии.

🐛 CVE-2025-68155, обнаруженная в @vitejs/plugin-rs (в версиях до 0.5.8), приводит к Path Traversal. Проблема заключалась в том, что endpoint /__vite_rsc_findSourceMapURL позволял неаутентифицированное чтение произвольных файлов через параметр filename с использованием file://. В исправлении добавили проверку c помощью метода isFileLoadingAllowed() из пакета Vite.

🐛 CVE-2025-68147, обнаруженная в Open Source Point of Sale (версии с 3.4.0 по 3.4.2), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии должной очистки пользовательского ввода в поле Return Policy, что позволяло внедрять произвольный JS-код. В исправлении добавлено экранирование вывода с помощью функции esc().

🐛 CVE-2025-68154, обнаруженная в systeminformation (версии до 5.27.14), приводит к OS Command Injection. Проблема заключалась в конкатенации параметра drive в команду PowerShell без санитизации, что позволяет выполнить произвольные команды при передаче пользовательского ввода в функцию fsSize(). В исправлении добавлена санитизация входных данных с помощью метода util.sanitizeShellString().

🐛 CVE-2025-68613, обнаруженная в n8n (версии с 0.211.0 до 1.120.4, 1.121.1, и 1.122.0), приводит к Remote Code Execution (RCE). Проблема заключалась в недостаточной изоляции контекста выполнения выражений, что позволяло аутентифицированным пользователям выполнять произвольный код. В исправлении усилили sandbox: добавили sanitizer, который переписывает IIFE с function(){...}() на вызов через .call(EMPTY_CONTEXT, ...), добавили в "черный" список свойств объекта новые сущности