🔍 Наиболее интересные уязвимости
🐛 CVE-2026-25148, обнаруженная в Qwik (версии до 1.19.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при SSR виртуальные атрибуты и обычные HTML-атрибуты сериализовались в HTML без экранирования, что позволяло внедрять произвольные веб-скрипты в страницы, отображаемые на сервере. В исправлении добавлена нейтрализация входных данных с помощью метода
🐛 CVE-2026-25947, обнаруженная в Worklenz (версии до 2.1.7), приводит к SQL Injection. Уязвимость обусловлена тем, что SQL запросы собирались через конкатенацию строк, что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении заменили конкатенацию на параметризованные конструкции, добавили метод
🐛 CVE-2026-25956, обнаруженная в Frappe (версии до 14.99.14 и 15.94.0), приводит к Open Redirect. Проблема заключалась в возможности создания злоумышленником вредоносного URL для регистрации на сайтах, которые используют этот фреймворк, что позволяло перенаправить пользователя на произвольные сайты. В исправлении добавлена санитизация входных данных с помощью внутреннего метода
🐛 CVE-2026-25951, обнаруженная в FUXA в версиях до 1.2.11, приводит к Path Traversal. Проблема заключалась в том, что логику “очистки” относительных путей можно было обойти с помощью вложенных последовательностей обхода директорий, что позволяло аутентифицированному злоумышленнику с правами администратора записывать файлы вне разрешённой директории. В исправлении вынесли нормализацию и валидацию в метод
🐛 CVE-2026-1774, выявленная в CASL Ability в версиях с 2.4.0 по 6.7.4, приводит к Prototype Pollution. Уязвимость обусловлена тем, что
🐛 CVE-2026-25148, обнаруженная в Qwik (версии до 1.19.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при SSR виртуальные атрибуты и обычные HTML-атрибуты сериализовались в HTML без экранирования, что позволяло внедрять произвольные веб-скрипты в страницы, отображаемые на сервере. В исправлении добавлена нейтрализация входных данных с помощью метода
escapeHtml().🐛 CVE-2026-25947, обнаруженная в Worklenz (версии до 2.1.7), приводит к SQL Injection. Уязвимость обусловлена тем, что SQL запросы собирались через конкатенацию строк, что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении заменили конкатенацию на параметризованные конструкции, добавили метод
SqlHelper.buildInClause(), который строит плейсхолдеры и возвращает params, также добавили валидацию значений🐛 CVE-2026-25956, обнаруженная в Frappe (версии до 14.99.14 и 15.94.0), приводит к Open Redirect. Проблема заключалась в возможности создания злоумышленником вредоносного URL для регистрации на сайтах, которые используют этот фреймворк, что позволяло перенаправить пользователя на произвольные сайты. В исправлении добавлена санитизация входных данных с помощью внутреннего метода
sanitize_redirect().🐛 CVE-2026-25951, обнаруженная в FUXA в версиях до 1.2.11, приводит к Path Traversal. Проблема заключалась в том, что логику “очистки” относительных путей можно было обойти с помощью вложенных последовательностей обхода директорий, что позволяло аутентифицированному злоумышленнику с правами администратора записывать файлы вне разрешённой директории. В исправлении вынесли нормализацию и валидацию в метод
normalizeRelativePath() и добавили resolveWithin() для проверки относительности путей. 🐛 CVE-2026-1774, выявленная в CASL Ability в версиях с 2.4.0 по 6.7.4, приводит к Prototype Pollution. Уязвимость обусловлена тем, что
rulesToFields() из модуля extra строил результирующий объект через setByPath() и не фильтровал поля, что позволяло злоумышленнику загрязнить Object.prototype. В исправлении добавили список запрещённых свойств и в setByPath() стали пропускать любые сегменты попадающие в этот список.👍3❤1
Всем отлично провести этот вечер, правильно войти в удлиненные выходные, и максимально безболезненно из них выйти! 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12🔥6❤3
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту
🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный
🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту
🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод
🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (
🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту
/ajax_table.php, что позволяло злоумышленнику внедрять произвольный SQL код. В исправлении внедрили параметризацию запросов.🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный
start_with? для File.expand_path(File.join(root, path_info)), что позволяло злоумышленнику выходить за пределы корневой директории. В исправлении изменили метод проверки пути, чтобы предотвратить выход за пределы корневой директории.🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту
/save-column-filter пользовательский ввод попадал в метод pandas.DataFrame.query() без валидации, что позволяло атакующему добиться выполнения произвольного Python-кода. В исправлении ввели валидацию и блокировку опасных паттернов с помощью использования "черных" списков.🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод
escapeXml() начали применять к значениям, которые интерполируются в SVG-атрибуты🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (
CURLOPT_FOLLOWLOCATION=false) и реализовали ручной цикл редиректов с лимитом.👍2
Всем скорейшего завершения неправильной рабочей пятницы, и чудесно провести этот вечер! 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12🔥6