🔍 Наиболее интересные уязвимости

🐛 CVE-2026-28482, обнаруженная в OpenClaw (версии до 2026.2.12), приводит к Path Traversal. Проблема заключалась в использовании несанитизированных параметров sessionId и sessionFile для построения путей к файлам, что позволяло аутентифицированным злоумышленникам читать или записывать произвольные файлы за пределами директории сессий. В исправлении была добавлена валидация sessionId через регулярное выражение, а также проверка пути sessionFile с методов помощью path.resolve() и path.relative().

🐛 CVE-2026-28677, обнаруженная в OpenSift (до версии 1.6.3-alpha), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии ограничений на URL с учетными данными, нестандартные порты и кросс-хостовые перенаправления, что позволяло обходить проверки и отправлять запросы на произвольные хосты. В исправлении добавили новые ограничения для пользовательских URL.

🐛 CVE-2026-27965, обнаруженная в Vitess (версии до 23.0.3 и 22.0.4), приводит к OS Command Injection. Проблема заключалась в возможности манипуляции файлами манифеста резервных копий, что позволяло выполнять произвольный код при восстановлении. В исправлении разработчики убрали автоматическое использование команды из манифеста.

🐛 CVE-2026-28697, обнаруженная в Craft CMS (версии до 4.17.0-beta.1 и 5.9.0-beta.1), приводит к Server-side template injection (SSTI). Проблема заключалась в возможности администратора внедрить вредоносный PHP-код в шаблоны Twig, что позволяло записать его в доступный через веб-каталог и выполнить. В исправлении был добавлен атрибут AllowedInSandbox для явно разрешенных свойств и методов, а общие списки allowedMethods и allowedProperties были очищены, чтобы в Twig sandbox оставались только явно разрешенные элементы.

🐛 CVE-2026-26022, обнаруженная в Gogs (версии до 0.14.2), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что HTML sanitizer разрешал схему data:, позволяя аутентифицированным пользователям выполнять произвольный JavaScript через вредоносные ссылки. В исправлении обработка data: была ограничена только безопасными значеними.

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-27826, обнаруженная в MCP Atlassian (до версии 0.17.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что неаутентифицированный злоумышленник мог с помощью специальных HTTP-заголовков заставить сервер выполнить HTTP-запрос на произвольный URL, что позволяло обращаться к внутренним ресурсам. В исправлении была добавлена серверная валидация URL: разрешены только схемы http/https, сравнение значений с "белым" и "черным" списками адресов.

🐛 CVE-2026-29172, обнаруженная в Craft Commerce (версии до 4.10.2 и 5.5.3), приводит к SQL Injection. Проблема заключалась в передаче имени столбца из параметра sort напрямую в orderBy() без проверки, что позволяло внедрять произвольный SQL код. В исправлении была добавлена проверка допустимых колонок сортировки с помощью "белого" списка.

🐛 CVE-2026-32096, обнаруженная в Plunk (версии до 0.7.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что обработчик SNS webhook принимал произвольное значение SubscribeURL и выполнял по нему HTTP GET-запрос, что позволяло неаутентифицированному злоумышленнику обращаться к любым хостам. В исправлении была добавлена проверка SubscribeURL: теперь URL должен быть корректно распарсен, использовать схему https и указывать только на официальный AWS SNS host вида sns.<region>.amazonaws.com.

🐛 CVE-2026-4092, выявленная в Clasp в версиях ниже 3.2.0, приводит к Path Traversal. Уязвимость обусловлена тем, что при синхронизации удаленного Google Apps Script проекта специально сформированные имена файлов с последовательностями перехода по каталогам могли привести к записи файлов вне директории проекта. В исправлении была добавлена проверка границ каталога: путь к каждому файлу теперь нормализуется, затем проверяется.

🐛 CVE-2026-32635, обнаруженная в Angular до версий 22.0.0-next.3, 21.2.4, 20.3.18 и 19.2.20, приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что при использовании чувствительных атрибутов вроде href вместе с механизмом интернационализации Angular, например через i18n-href, встроенная санитизация обходилась, что позволяло внедрять вредоносный JS-код. В исправлении Angular начал применять встроенную санитизацию URL и к URI-атрибутам, помеченным для перевода, включая биндинги и интерполяции внутри i18n-конструкций.