🔍 Наиболее интересные уязвимости

🐛 CVE-2026-25516, обнаруженная в NiceGUI в версиях до 3.7.0, приводит к Cross-Site Scripting (XSS). Проблема заключается в попадании пользовательских данных в метод ui.markdown(), который отрисовывает HTML из Markdown без санитизации содержимого, что позволяло злоумышленнику выполнить произвольный JS в контексте пользователя. В исправлении добавили поддержку режима sanitize и перевели рендер на безопасный режим: при включённой санитизации контент вставляется через setHTML(), а прямой innerHTML() остаётся только при явном отключении .

🐛 CVE-2026-25760, обнаруженная в Sliver (версии до 1.6.11), приводит к Path Traversal. Проблема заключалась в использовании пользовательских значений для формирования путей к файлам через filepath.Join() без санитизации или проверок, что позволяло аутентифицированному злоумышленнику читать произвольные файлы на хосте. В исправлении перестали использовать поле webcontent.Path как часть пути к файлу и вместо него формируют имя файла из webcontent.ID.String() (UUID).

🐛 CVE-2026-25580, обнаруженная в Pydantic AI (версии с 0.0.26 до 1.56.0), приводит к SSRF. Проблема заключалась в возможности включения злоумышленниками в историю сообщений вредоносных URL, которые заставляют сервер отправлять HTTP-запросы к произвольным сетевым ресурсам, что позволяло злоумышленнику обращаться к внутренним сервисам. В исправлении добавили методы для безопасной обработки входящих URL, а также проверки по "черным" спискам IP адресов.

🐛 CVE-2026-25161, обнаруженная в Alist (версии до 3.57.0), приводит к Path Traversal. Проблема заключалась в возможности обхода авторизации на уровне директорий через инъекцию символов обхода пути в компоненты имени файла, что позволяло авторизированному злоумышленнику проводить удаление, перемещение и копирование произвольных файлов. В исправлении добавлены проверки значений и их санитизация с помощью метода SecureJoin().

🐛 CVE-2026-24763, обнаруженная в OpenClaw (версии до 2026.1.29), приводит к OS Command Injection. Проблема заключалась в небезопасной обработке переменной окружения PATH при построении shell-команд, что позволяло аутентифицированному пользователю влиять на выполнение команд в контейнере. В исправлении пользовательское значение PATH вынесли из строки shell-команды и стали передавать его как отдельную env-переменную (CLAWDBOT_PREPEND_PATH), работая с ней уже внутри контейнера.

Часики тикают! Осталось 3 недели

Принимаем доклады в трек Development Security на киберфестивале PHDays до 9 марта. Меньше прокрастинация — больше времени на обсуждение материала.

Ждем доклады на темы:

👉 Разработка безопасного кода: безопасное проектирование, фаззинг и др.
👉 Инструменты безопасной разработки: SAST, DAST, SCA
👉 Использование ИИ для поиска и анализа уязвимостей
👉 Безопасность контейнеров и артефактов
👉 Технологии: computer science, алгоритмы, моделирование безопасности, разработка криптографии и безопасность собственных криптографических алгоритмов

⏰ Подать заявку

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-25148, обнаруженная в Qwik (версии до 1.19.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при SSR виртуальные атрибуты и обычные HTML-атрибуты сериализовались в HTML без экранирования, что позволяло внедрять произвольные веб-скрипты в страницы, отображаемые на сервере. В исправлении добавлена нейтрализация входных данных с помощью метода escapeHtml().

🐛 CVE-2026-25947, обнаруженная в Worklenz (версии до 2.1.7), приводит к SQL Injection. Уязвимость обусловлена тем, что SQL запросы собирались через конкатенацию строк, что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении заменили конкатенацию на параметризованные конструкции, добавили метод SqlHelper.buildInClause(), который строит плейсхолдеры и возвращает params, также добавили валидацию значений

🐛 CVE-2026-25956, обнаруженная в Frappe (версии до 14.99.14 и 15.94.0), приводит к Open Redirect. Проблема заключалась в возможности создания злоумышленником вредоносного URL для регистрации на сайтах, которые используют этот фреймворк, что позволяло перенаправить пользователя на произвольные сайты. В исправлении добавлена санитизация входных данных с помощью внутреннего метода sanitize_redirect().

🐛 CVE-2026-25951, обнаруженная в FUXA в версиях до 1.2.11, приводит к Path Traversal. Проблема заключалась в том, что логику “очистки” относительных путей можно было обойти с помощью вложенных последовательностей обхода директорий, что позволяло аутентифицированному злоумышленнику с правами администратора записывать файлы вне разрешённой директории. В исправлении вынесли нормализацию и валидацию в метод normalizeRelativePath() и добавили resolveWithin() для проверки относительности путей.

🐛 CVE-2026-1774, выявленная в CASL Ability в версиях с 2.4.0 по 6.7.4, приводит к Prototype Pollution. Уязвимость обусловлена тем, что rulesToFields() из модуля extra строил результирующий объект через setByPath() и не фильтровал поля, что позволяло злоумышленнику загрязнить Object.prototype. В исправлении добавили список запрещённых свойств и в setByPath() стали пропускать любые сегменты попадающие в этот список.