🔍 Наиболее интересные уязвимости

🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту /ajax_table.php, что позволяло злоумышленнику внедрять произвольный SQL код. В исправлении внедрили параметризацию запросов.

🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный start_with? для File.expand_path(File.join(root, path_info)), что позволяло злоумышленнику выходить за пределы корневой директории. В исправлении изменили метод проверки пути, чтобы предотвратить выход за пределы корневой директории.

🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту /save-column-filter пользовательский ввод попадал в метод pandas.DataFrame.query() без валидации, что позволяло атакующему добиться выполнения произвольного Python-кода. В исправлении ввели валидацию и блокировку опасных паттернов с помощью использования "черных" списков.

🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод escapeXml() начали применять к значениям, которые интерполируются в SVG-атрибуты

🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (CURLOPT_FOLLOWLOCATION=false) и реализовали ручной цикл редиректов с лимитом.