🔍 Наиболее интересные уязвимости

🐛 CVE-2026-26990, обнаруженная в LibreNMS (версии 25.12.0 и ниже), приводит к SQL Injection. Проблема заключалась в конкатенации пользовательских значений с SQL-запросом без экранирования при обращении к эндпоинту /ajax_table.php, что позволяло злоумышленнику внедрять произвольный SQL код. В исправлении внедрили параметризацию запросов.

🐛 CVE-2026-22860, обнаруженная в Rack (версии до 2.2.22, 3.1.20 и 3.2.5), приводит к Path Traversal. Проблема заключалась в том, что в проверке пути использовался обычный префиксный start_with? для File.expand_path(File.join(root, path_info)), что позволяло злоумышленнику выходить за пределы корневой директории. В исправлении изменили метод проверки пути, чтобы предотвратить выход за пределы корневой директории.

🐛 CVE-2026-27194, обнаруженная в D-Tale (версии до 3.20.0), приводит к Remote Code Execution (RCE). Проблема заключалась в том, что при обращении к эндпоинту /save-column-filter пользовательский ввод попадал в метод pandas.DataFrame.query() без валидации, что позволяло атакующему добиться выполнения произвольного Python-кода. В исправлении ввели валидацию и блокировку опасных паттернов с помощью использования "черных" списков.

🐛 CVE-2026-27013, обнаруженная в Fabric.js (до версии 7.2.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии экранирования пользовательских строк при экспорте SVG, что позволяло внедрять произвольные SVG-элементы и обработчики событий. В исправлении метод escapeXml() начали применять к значениям, которые интерполируются в SVG-атрибуты

🐛 CVE-2026-27479, обнаруженная в Wallos (версии 4.6.0 и ниже), приводит к Server-side request forgery (SSRF). Проблема заключалась в том, что после валидации IP-адреса URL приложение следовало за HTTP-перенаправлениями, что позволяло обойти проверку IP и получить доступ к внутренним ресурсам. В исправлении автоматические редиректы отключили (CURLOPT_FOLLOWLOCATION=false) и реализовали ручной цикл редиректов с лимитом.

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-27829, обнаруженная в Astro (версии 9.0.0–9.5.3), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки доменов при использовании опции inferSize, что позволяло серверу делать запросы к произвольным хостам, обходя ограничения image.domains / image.remotePatterns. В исправлении ввели явную проверку доменов перед загрузкой.

🐛 CVE-2026-28406, обнаруженная в kaniko (версии с 1.25.4 по 1.25.9), приводит к Path Traversal. Проблема заключалась в попадании пользовательских значений пути в filepath.Join() без проверки, что позволяло выходить за пределы корневого каталога извлечения. В исправлении применили securejoin.SecureJoin() для получения безопасного значения пути.

🐛 CVE-2026-28338, обнаруженная в PMD в версиях до 7.22.0, приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что при использовании форматов vbhtml и yahtml для получения отчетов, сообщения о нарушениях правил в HTML попадали в отчеты без экранирования, что позволяло выполнять JavaScript. В исправлении внедрили экранирование HTML-вывода с помощью StringEscapeUtils.escapeHtml4().

🐛 CVE-2026-27969, обнаруженная в Vitess (версии до 23.0.3 и 22.0.4), приводит к Path Traversal. Проблема заключалась в возможности манипуляции файлами манифеста резервных копий, что позволяло записывать файлы в произвольные доступные места при восстановлении. В исправлении небезопасный метод path.Join() поменяли на fileutil.SafePathJoin()

🐛 CVE-2026-27732, обнаруженная в WWBN AVideo (версии до 22.0), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки параметра downloadURL в aVideoEncoder.json.php, что позволяло выполнять серверные запросы к произвольным URL. В исправлении ввели ограничения на допустимые адреса с помощью "черных" списков и регулярных выражений.

Всем привет!

Следующий Positive Hack Days Fest пройдет в 2027 году, в этом году киберфестиваля не будет.

Почему мы приняли такое решение

Каждый новый PHDays — это вызов для всей нашей команды: сделать его круче, чем он был годом ранее.

Этот PHDays должен был стать 15-м по счету — юбилейным, и поэтому он особенно важен для нас.

Во время подготовки возникли сложности с местом его проведения — в связи с реконструкцией «Лужников» и всех крупных парков, которые могли бы нас принять. Это не позволило бы нам построить все те тематические зоны и полноценно воплотить идеи, которые мы для вас подготовили.

Мы изучили все возможности, но поняли, что в этих условиях сделать великолепно не получится, а на меньшее мы не готовы. Поэтому мы решили взять перерыв и провести юбилейный PHDays в 2027 году — на новой площадке, независимо от внешних факторов. И сделать его таким, каким мы и задумываем.

Спасибо за понимание, ваша команда @PHDays.

@Positive_Technologies

💻 Уязвимости, переходящие из спринта в спринт, срочные фиксы перед релизом и находки уже в продакшене — знакомая картина для команд, где безопасность подключается на финальных этапах

Для апсеков коллеги из Positive Education обновили практикум «Безопасность приложений: практикум для инженеров», который стартует 23 марта.

👩‍💻 Программу разрабатывали эксперты-практики.

Что на выходе?
⭐️Освоите SAST, DAST, SCA, моделирование угроз и фаззинг
⭐️Научитесь интегрировать инструменты в CI/CD pipeline
⭐️Поймете, как выстроить культуру безопасности в команде и превратить AppSec в стратегический инструмент для минимизации рисков

Помимо этого программа охватывает безопасность контейнерных сред, ML-инфраструктуру и защиту моделей, границы и культуру AppSec в компании, а также практику применения методологии ФСТЭК в процессах безопасной разработки.

👉 Все подробности и регистрация — на сайте Positive Education.