🔍 Наиболее интересные уязвимости

🐛 CVE-2026-33479, обнаруженная в WWBN AVideo в версиях до 26.0 включительно, приводит к Remote Code Execution (RCE). Проблема заключалась в том, что endpoint saveSort.json.php в плагине Gallery передавал пользовательские значения из $_REQUEST['sections'] напрямую в eval(), что позволяло выполнить произвольный код. В исправлении была добавлена введена валидация пользовательских значений через регулярное выражение, а небезопасное использование eval() заменено на доступ к свойствам объекта.

🐛 CVE-2026-32758, выявленная в File Browser до версии 2.62.0, приводит к Path Traversal. Проблема заключалась в том, что путь назначения в resourcePatchHandler проверялся до нормализации, позволяя злоумышленнику обойти правила доступа с помощью последовательности обхода пути и взаимодействовать с произвольными файлами . В исправлении добавили санитизацию путей src и dst с помощью path.Clean()

🐛 CVE-2026-32763, обнаруженная в Kysely до версии 0.28.12, приводит к SQL Injection. Проблема заключалась в том, что пользовательские значения из .key() и .at() вставлялись в строковый литерал JSON path без экранирования одинарных кавычек, что позволяло выйти из контекста строки и внедрить произвольный SQL. В исправлении для строковых значений в JSON path была добавлена санитизация с помощью sanitizeStringLiteral().

🐛 CVE-2026-32812, выявленная в Admidio в версиях с 5.0.0 по 5.0.6, приводит к Server-Side Request Forgery (SSRF). Уязвимость обусловлена тем, что endpoint загрузки SSO Metadata принимал произвольный URL, проверял его только с помощью FILTER_VALIDATE_URL и передавал напрямую в file_get_contents(), из-за чего аутентифицированный администратор мог читать локальные файлы через file://, обращаться к произвольным хостам. В исправлении разработчики разрешили только схему URL https://, добавили проверку на private и reserved IP-адреса, а также заменили прямой вызов file_get_contents() на cURL.

🐛 CVE-2026-32238, обнаруженная в OpenEMR до версии 8.0.0.2, приводит к Command Injection. Проблема заключалась в недостаточной валидации пользовательских значений в функциональности резервного копирования, что позволяло аутентифицированному злоумышленнику добиться выполнения произвольных команд. В исправлении были добавлены отдельные функции escapeShellSingleQuotes и escapeForWindowsCmd для экранирования значений для Unix/Linux и Windows shell.

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-32751, обнаруженная в SiYuan (версии 3.6.0 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в попадании пользовательских данных напрямую в innerHTML() в MobileFiles.ts, что позволяло аутентифицированному пользователю внедрять произвольный JS код. В исправлении добавили предварительную обработку пользовательских данных с помощью метода escapeHtml().

🐛 CVE-2026-32733, обнаруженная в Halloy (во всех версиях включая 2026.4), приводит к Path Traversal. Проблема заключалась в отсутствии проверки имен файлов при обработке запросов DCC SEND, что позволяло записывать файлы за пределами директории. В исправлении добавлен внутренний метод sanitize_filename() для проверки имен файлов.

🐛 CVE-2026-27602, обнаруженная в Modoboa (до версии 2.7.1), приводит к OS Command Injection. Проблема заключалась в использовании shell=True в exec_cmd(), что позволяло включать метасимволы оболочки в имена доменов для выполнения произвольных команд. В исправлении разработчики убрали принудительный запуск команд через shell=True в exec_cmd() и перевели опасные вызовы на передачу команд в виде массива аргументов.

🐛 CVE-2026-23481, обнаруженная в Blinko (до версии 1.8.4), приводит к Path Traversal. Проблема заключалась в попадании пользовательских данных в path.join() без предварительной обработки, что позволяло аутентифицированному пользователю записывать файлы в произвольные места в файловой системе. В исправлении добавили валидацию пользовательских данных с помощью методов includes(), isAbsolute() и pathIsInside()

🐛 CVE-2026-33913, обнаруженная в OpenEMR (версии до 8.0.0.3), приводит к XXE. Уязвимость обусловлена тем, что аутентифицированный пользователь с доступом к модулю Carecoordination мог загрузить специально подготовленный CCDA-документ с конструкцией <xi:include href="file:///..." parse="text"/>, что позволяло читать произвольные файлы на сервере. В исправлении была отключена обработка XInclude при разборе XML-документов: из вызовов XMLReader::open() и XMLReader::XML() был убран флаг LIBXML_XINCLUDE.

Коллеги, уже в четверг собираемся на Product Hypothesis Lab в нашем офисе!

📅Ждем вас: 02 апреля в 17.00
📍 Где: офис Positive Technologies, 16 этаж, Конференц-зал (возьмите паспорт).

Команда PT Application Inspector приглашает пользователей PT AI на закрытую встречу в офисе Positive Technologies.

Разберем реальные продуктовые гипотезы из бэклога PT AI и обсудим, каким должен быть следующий этап развития AppSec-инструментов.

Будем работать в небольших командах: анализировать реальные проблемы, спорить о подходах к решению и формулировать своё видение будущих функций продукта - интерактивное product discovery, где пользователи участвуют в формировании roadmap.

Участники получат:
• доступ к гипотезам из будущего roadmap
• возможность напрямую повлиять на развитие PT AI
• ранний доступ к новым функциям
• обмен опытом с сильными AppSec-инженерами и разработчиками.

Кому будет полезна встреча: AppSec-инженерам, Security Чемпионам, DevOps-специалистам, архитекторам безопасности и ведущим разработчикам.

Если вы ежедневно работаете с AppSec-инструментами и готовы обсуждать, как они должны развиваться — будем рады видеть вас на встрече.

Команда PT Application Inspector:

Сергей Синяков, Руководитель продукта
Владимир Кочетков, Главный по исследованиям технологий безопасности приложений
Даниил Слюсарь, Руководитель разработки PT AI
Дмитрий Литовченко, Руководитель группы разработки
Стас Мавричев, Главный дизайнер продукта
и другие участники команды продукта.

📍 Присоединяйтесь!

Регистрация обязательна - вышлем блоки в календари зарегистрированным участникам.