This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Так, это что тут у нас? Почему до сих пор работаем? Заканчивайте это дело и переходите к правильной части пятницы, не будьте админом 😰
Всех с наступающими! (выходными)🤗
Всех с наступающими! (выходными)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤6😁6❤🔥3👍2🥰1
Часики тикают! Осталось 3 недели
Принимаем доклады в трек Development Security на киберфестивале PHDays до 9 марта. Меньше прокрастинация — больше времени на обсуждение материала.
Ждем доклады на темы:
👉 Разработка безопасного кода: безопасное проектирование, фаззинг и др.
👉 Инструменты безопасной разработки: SAST, DAST, SCA
👉 Использование ИИ для поиска и анализа уязвимостей
👉 Безопасность контейнеров и артефактов
👉 Технологии: computer science, алгоритмы, моделирование безопасности, разработка криптографии и безопасность собственных криптографических алгоритмов
⏰ Подать заявку
Принимаем доклады в трек Development Security на киберфестивале PHDays до 9 марта. Меньше прокрастинация — больше времени на обсуждение материала.
Ждем доклады на темы:
👉 Разработка безопасного кода: безопасное проектирование, фаззинг и др.
👉 Инструменты безопасной разработки: SAST, DAST, SCA
👉 Использование ИИ для поиска и анализа уязвимостей
👉 Безопасность контейнеров и артефактов
👉 Технологии: computer science, алгоритмы, моделирование безопасности, разработка криптографии и безопасность собственных криптографических алгоритмов
⏰ Подать заявку
❤3👍1
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-25148, обнаруженная в Qwik (версии до 1.19.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при SSR виртуальные атрибуты и обычные HTML-атрибуты сериализовались в HTML без экранирования, что позволяло внедрять произвольные веб-скрипты в страницы, отображаемые на сервере. В исправлении добавлена нейтрализация входных данных с помощью метода
🐛 CVE-2026-25947, обнаруженная в Worklenz (версии до 2.1.7), приводит к SQL Injection. Уязвимость обусловлена тем, что SQL запросы собирались через конкатенацию строк, что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении заменили конкатенацию на параметризованные конструкции, добавили метод
🐛 CVE-2026-25956, обнаруженная в Frappe (версии до 14.99.14 и 15.94.0), приводит к Open Redirect. Проблема заключалась в возможности создания злоумышленником вредоносного URL для регистрации на сайтах, которые используют этот фреймворк, что позволяло перенаправить пользователя на произвольные сайты. В исправлении добавлена санитизация входных данных с помощью внутреннего метода
🐛 CVE-2026-25951, обнаруженная в FUXA в версиях до 1.2.11, приводит к Path Traversal. Проблема заключалась в том, что логику “очистки” относительных путей можно было обойти с помощью вложенных последовательностей обхода директорий, что позволяло аутентифицированному злоумышленнику с правами администратора записывать файлы вне разрешённой директории. В исправлении вынесли нормализацию и валидацию в метод
🐛 CVE-2026-1774, выявленная в CASL Ability в версиях с 2.4.0 по 6.7.4, приводит к Prototype Pollution. Уязвимость обусловлена тем, что
🐛 CVE-2026-25148, обнаруженная в Qwik (версии до 1.19.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при SSR виртуальные атрибуты и обычные HTML-атрибуты сериализовались в HTML без экранирования, что позволяло внедрять произвольные веб-скрипты в страницы, отображаемые на сервере. В исправлении добавлена нейтрализация входных данных с помощью метода
escapeHtml().🐛 CVE-2026-25947, обнаруженная в Worklenz (версии до 2.1.7), приводит к SQL Injection. Уязвимость обусловлена тем, что SQL запросы собирались через конкатенацию строк, что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении заменили конкатенацию на параметризованные конструкции, добавили метод
SqlHelper.buildInClause(), который строит плейсхолдеры и возвращает params, также добавили валидацию значений🐛 CVE-2026-25956, обнаруженная в Frappe (версии до 14.99.14 и 15.94.0), приводит к Open Redirect. Проблема заключалась в возможности создания злоумышленником вредоносного URL для регистрации на сайтах, которые используют этот фреймворк, что позволяло перенаправить пользователя на произвольные сайты. В исправлении добавлена санитизация входных данных с помощью внутреннего метода
sanitize_redirect().🐛 CVE-2026-25951, обнаруженная в FUXA в версиях до 1.2.11, приводит к Path Traversal. Проблема заключалась в том, что логику “очистки” относительных путей можно было обойти с помощью вложенных последовательностей обхода директорий, что позволяло аутентифицированному злоумышленнику с правами администратора записывать файлы вне разрешённой директории. В исправлении вынесли нормализацию и валидацию в метод
normalizeRelativePath() и добавили resolveWithin() для проверки относительности путей. 🐛 CVE-2026-1774, выявленная в CASL Ability в версиях с 2.4.0 по 6.7.4, приводит к Prototype Pollution. Уязвимость обусловлена тем, что
rulesToFields() из модуля extra строил результирующий объект через setByPath() и не фильтровал поля, что позволяло злоумышленнику загрязнить Object.prototype. В исправлении добавили список запрещённых свойств и в setByPath() стали пропускать любые сегменты попадающие в этот список.👍3❤1
Всем отлично провести этот вечер, правильно войти в удлиненные выходные, и максимально безболезненно из них выйти! 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12🔥6❤3
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту
🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный
🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту
🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод
🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (
🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту
/ajax_table.php, что позволяло злоумышленнику внедрять произвольный SQL код. В исправлении внедрили параметризацию запросов.🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный
start_with? для File.expand_path(File.join(root, path_info)), что позволяло злоумышленнику выходить за пределы корневой директории. В исправлении изменили метод проверки пути, чтобы предотвратить выход за пределы корневой директории.🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту
/save-column-filter пользовательский ввод попадал в метод pandas.DataFrame.query() без валидации, что позволяло атакующему добиться выполнения произвольного Python-кода. В исправлении ввели валидацию и блокировку опасных паттернов с помощью использования "черных" списков.🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод
escapeXml() начали применять к значениям, которые интерполируются в SVG-атрибуты🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (
CURLOPT_FOLLOWLOCATION=false) и реализовали ручной цикл редиректов с лимитом.👍2