🔍 Наиболее интересные уязвимости

🐛 CVE-2026-27826, обнаруженная в MCP Atlassian (до версии 0.17.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что неаутентифицированный злоумышленник мог с помощью специальных HTTP-заголовков заставить сервер выполнить HTTP-запрос на произвольный URL, что позволяло обращаться к внутренним ресурсам. В исправлении была добавлена серверная валидация URL: разрешены только схемы http/https, сравнение значений с "белым" и "черным" списками адресов.

🐛 CVE-2026-29172, обнаруженная в Craft Commerce (версии до 4.10.2 и 5.5.3), приводит к SQL Injection. Проблема заключалась в передаче имени столбца из параметра sort напрямую в orderBy() без проверки, что позволяло внедрять произвольный SQL код. В исправлении была добавлена проверка допустимых колонок сортировки с помощью "белого" списка.

🐛 CVE-2026-32096, обнаруженная в Plunk (версии до 0.7.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что обработчик SNS webhook принимал произвольное значение SubscribeURL и выполнял по нему HTTP GET-запрос, что позволяло неаутентифицированному злоумышленнику обращаться к любым хостам. В исправлении была добавлена проверка SubscribeURL: теперь URL должен быть корректно распарсен, использовать схему https и указывать только на официальный AWS SNS host вида sns.<region>.amazonaws.com.

🐛 CVE-2026-4092, выявленная в Clasp в версиях ниже 3.2.0, приводит к Path Traversal. Уязвимость обусловлена тем, что при синхронизации удаленного Google Apps Script проекта специально сформированные имена файлов с последовательностями перехода по каталогам могли привести к записи файлов вне директории проекта. В исправлении была добавлена проверка границ каталога: путь к каждому файлу теперь нормализуется, затем проверяется.

🐛 CVE-2026-32635, обнаруженная в Angular до версий 22.0.0-next.3, 21.2.4, 20.3.18 и 19.2.20, приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что при использовании чувствительных атрибутов вроде href вместе с механизмом интернационализации Angular, например через i18n-href, встроенная санитизация обходилась, что позволяло внедрять вредоносный JS-код. В исправлении Angular начал применять встроенную санитизацию URL и к URI-атрибутам, помеченным для перевода, включая биндинги и интерполяции внутри i18n-конструкций.

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-33479, обнаруженная в WWBN AVideo в версиях до 26.0 включительно, приводит к Remote Code Execution (RCE). Проблема заключалась в том, что endpoint saveSort.json.php в плагине Gallery передавал пользовательские значения из $_REQUEST['sections'] напрямую в eval(), что позволяло выполнить произвольный код. В исправлении была добавлена введена валидация пользовательских значений через регулярное выражение, а небезопасное использование eval() заменено на доступ к свойствам объекта.

🐛 CVE-2026-32758, выявленная в File Browser до версии 2.62.0, приводит к Path Traversal. Проблема заключалась в том, что путь назначения в resourcePatchHandler проверялся до нормализации, позволяя злоумышленнику обойти правила доступа с помощью последовательности обхода пути и взаимодействовать с произвольными файлами . В исправлении добавили санитизацию путей src и dst с помощью path.Clean()

🐛 CVE-2026-32763, обнаруженная в Kysely до версии 0.28.12, приводит к SQL Injection. Проблема заключалась в том, что пользовательские значения из .key() и .at() вставлялись в строковый литерал JSON path без экранирования одинарных кавычек, что позволяло выйти из контекста строки и внедрить произвольный SQL. В исправлении для строковых значений в JSON path была добавлена санитизация с помощью sanitizeStringLiteral().

🐛 CVE-2026-32812, выявленная в Admidio в версиях с 5.0.0 по 5.0.6, приводит к Server-Side Request Forgery (SSRF). Уязвимость обусловлена тем, что endpoint загрузки SSO Metadata принимал произвольный URL, проверял его только с помощью FILTER_VALIDATE_URL и передавал напрямую в file_get_contents(), из-за чего аутентифицированный администратор мог читать локальные файлы через file://, обращаться к произвольным хостам. В исправлении разработчики разрешили только схему URL https://, добавили проверку на private и reserved IP-адреса, а также заменили прямой вызов file_get_contents() на cURL.

🐛 CVE-2026-32238, обнаруженная в OpenEMR до версии 8.0.0.2, приводит к Command Injection. Проблема заключалась в недостаточной валидации пользовательских значений в функциональности резервного копирования, что позволяло аутентифицированному злоумышленнику добиться выполнения произвольных команд. В исправлении были добавлены отдельные функции escapeShellSingleQuotes и escapeForWindowsCmd для экранирования значений для Unix/Linux и Windows shell.