💻 Уязвимости, переходящие из спринта в спринт, срочные фиксы перед релизом и находки уже в продакшене — знакомая картина для команд, где безопасность подключается на финальных этапах
Для апсеков коллеги из Positive Education обновили практикум «Безопасность приложений: практикум для инженеров», который стартует 23 марта.
👩💻 Программу разрабатывали эксперты-практики.
Что на выходе?
⭐️Освоите SAST, DAST, SCA, моделирование угроз и фаззинг
⭐️Научитесь интегрировать инструменты в CI/CD pipeline
⭐️Поймете, как выстроить культуру безопасности в команде и превратить AppSec в стратегический инструмент для минимизации рисков
Помимо этого программа охватывает безопасность контейнерных сред, ML-инфраструктуру и защиту моделей, границы и культуру AppSec в компании, а также практику применения методологии ФСТЭК в процессах безопасной разработки.
👉 Все подробности и регистрация — на сайте Positive Education.
Для апсеков коллеги из Positive Education обновили практикум «Безопасность приложений: практикум для инженеров», который стартует 23 марта.
👩💻 Программу разрабатывали эксперты-практики.
Что на выходе?
⭐️Освоите SAST, DAST, SCA, моделирование угроз и фаззинг
⭐️Научитесь интегрировать инструменты в CI/CD pipeline
⭐️Поймете, как выстроить культуру безопасности в команде и превратить AppSec в стратегический инструмент для минимизации рисков
Помимо этого программа охватывает безопасность контейнерных сред, ML-инфраструктуру и защиту моделей, границы и культуру AppSec в компании, а также практику применения методологии ФСТЭК в процессах безопасной разработки.
👉 Все подробности и регистрация — на сайте Positive Education.
🔥1
Всем, кто успел затолкнуть свои свершения в кладовые до черты упокоя — чудесного пѧтъка 🍻
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8❤3
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-28482, обнаруженная в OpenClaw (версии до 2026.2.12), приводит к Path Traversal. Проблема заключалась в использовании несанитизированных параметров
🐛 CVE-2026-28677, обнаруженная в OpenSift (до версии 1.6.3-alpha), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии ограничений на URL с учетными данными, нестандартные порты и кросс-хостовые перенаправления, что позволяло обходить проверки и отправлять запросы на произвольные хосты. В исправлении добавили новые ограничения для пользовательских URL.
🐛 CVE-2026-27965, обнаруженная в Vitess (версии до 23.0.3 и 22.0.4), приводит к OS Command Injection. Проблема заключалась в возможности манипуляции файлами манифеста резервных копий, что позволяло выполнять произвольный код при восстановлении. В исправлении разработчики убрали автоматическое использование команды из манифеста.
🐛 CVE-2026-28697, обнаруженная в Craft CMS (версии до 4.17.0-beta.1 и 5.9.0-beta.1), приводит к Server-side template injection (SSTI). Проблема заключалась в возможности администратора внедрить вредоносный PHP-код в шаблоны Twig, что позволяло записать его в доступный через веб-каталог и выполнить. В исправлении был добавлен атрибут
🐛 CVE-2026-26022, обнаруженная в Gogs (версии до 0.14.2), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что HTML sanitizer разрешал схему
🐛 CVE-2026-28482, обнаруженная в OpenClaw (версии до 2026.2.12), приводит к Path Traversal. Проблема заключалась в использовании несанитизированных параметров
sessionId и sessionFile для построения путей к файлам, что позволяло аутентифицированным злоумышленникам читать или записывать произвольные файлы за пределами директории сессий. В исправлении была добавлена валидация sessionId через регулярное выражение, а также проверка пути sessionFile с методов помощью path.resolve() и path.relative().🐛 CVE-2026-28677, обнаруженная в OpenSift (до версии 1.6.3-alpha), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии ограничений на URL с учетными данными, нестандартные порты и кросс-хостовые перенаправления, что позволяло обходить проверки и отправлять запросы на произвольные хосты. В исправлении добавили новые ограничения для пользовательских URL.
🐛 CVE-2026-27965, обнаруженная в Vitess (версии до 23.0.3 и 22.0.4), приводит к OS Command Injection. Проблема заключалась в возможности манипуляции файлами манифеста резервных копий, что позволяло выполнять произвольный код при восстановлении. В исправлении разработчики убрали автоматическое использование команды из манифеста.
🐛 CVE-2026-28697, обнаруженная в Craft CMS (версии до 4.17.0-beta.1 и 5.9.0-beta.1), приводит к Server-side template injection (SSTI). Проблема заключалась в возможности администратора внедрить вредоносный PHP-код в шаблоны Twig, что позволяло записать его в доступный через веб-каталог и выполнить. В исправлении был добавлен атрибут
AllowedInSandbox для явно разрешенных свойств и методов, а общие списки allowedMethods и allowedProperties были очищены, чтобы в Twig sandbox оставались только явно разрешенные элементы.🐛 CVE-2026-26022, обнаруженная в Gogs (версии до 0.14.2), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что HTML sanitizer разрешал схему
data:, позволяя аутентифицированным пользователям выполнять произвольный JavaScript через вредоносные ссылки. В исправлении обработка data: была ограничена только безопасными значеними.👍2
Вы все ещё работаете? Тогда мы идём к вам вот вам мемы, чтобы уже не работать! 🦄
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8😁7❤5