🔍 Наиболее интересные уязвимости

🐛 CVE-2026-32751, обнаруженная в SiYuan (версии 3.6.0 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в попадании пользовательских данных напрямую в innerHTML() в MobileFiles.ts, что позволяло аутентифицированному пользователю внедрять произвольный JS код. В исправлении добавили предварительную обработку пользовательских данных с помощью метода escapeHtml().

🐛 CVE-2026-32733, обнаруженная в Halloy (во всех версиях включая 2026.4), приводит к Path Traversal. Проблема заключалась в отсутствии проверки имен файлов при обработке запросов DCC SEND, что позволяло записывать файлы за пределами директории. В исправлении добавлен внутренний метод sanitize_filename() для проверки имен файлов.

🐛 CVE-2026-27602, обнаруженная в Modoboa (до версии 2.7.1), приводит к OS Command Injection. Проблема заключалась в использовании shell=True в exec_cmd(), что позволяло включать метасимволы оболочки в имена доменов для выполнения произвольных команд. В исправлении разработчики убрали принудительный запуск команд через shell=True в exec_cmd() и перевели опасные вызовы на передачу команд в виде массива аргументов.

🐛 CVE-2026-23481, обнаруженная в Blinko (до версии 1.8.4), приводит к Path Traversal. Проблема заключалась в попадании пользовательских данных в path.join() без предварительной обработки, что позволяло аутентифицированному пользователю записывать файлы в произвольные места в файловой системе. В исправлении добавили валидацию пользовательских данных с помощью методов includes(), isAbsolute() и pathIsInside()

🐛 CVE-2026-33913, обнаруженная в OpenEMR (версии до 8.0.0.3), приводит к XXE. Уязвимость обусловлена тем, что аутентифицированный пользователь с доступом к модулю Carecoordination мог загрузить специально подготовленный CCDA-документ с конструкцией <xi:include href="file:///..." parse="text"/>, что позволяло читать произвольные файлы на сервере. В исправлении была отключена обработка XInclude при разборе XML-документов: из вызовов XMLReader::open() и XMLReader::XML() был убран флаг LIBXML_XINCLUDE.

Коллеги, уже в четверг собираемся на Product Hypothesis Lab в нашем офисе!

📅Ждем вас: 02 апреля в 17.00
📍 Где: офис Positive Technologies, 16 этаж, Конференц-зал (возьмите паспорт).

Команда PT Application Inspector приглашает пользователей PT AI на закрытую встречу в офисе Positive Technologies.

Разберем реальные продуктовые гипотезы из бэклога PT AI и обсудим, каким должен быть следующий этап развития AppSec-инструментов.

Будем работать в небольших командах: анализировать реальные проблемы, спорить о подходах к решению и формулировать своё видение будущих функций продукта - интерактивное product discovery, где пользователи участвуют в формировании roadmap.

Участники получат:
• доступ к гипотезам из будущего roadmap
• возможность напрямую повлиять на развитие PT AI
• ранний доступ к новым функциям
• обмен опытом с сильными AppSec-инженерами и разработчиками.

Кому будет полезна встреча: AppSec-инженерам, Security Чемпионам, DevOps-специалистам, архитекторам безопасности и ведущим разработчикам.

Если вы ежедневно работаете с AppSec-инструментами и готовы обсуждать, как они должны развиваться — будем рады видеть вас на встрече.

Команда PT Application Inspector:

Сергей Синяков, Руководитель продукта
Владимир Кочетков, Главный по исследованиям технологий безопасности приложений
Даниил Слюсарь, Руководитель разработки PT AI
Дмитрий Литовченко, Руководитель группы разработки
Стас Мавричев, Главный дизайнер продукта
и другие участники команды продукта.

📍 Присоединяйтесь!

Регистрация обязательна - вышлем блоки в календари зарегистрированным участникам.

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-27834, обнаруженная в Piwigo (до версии 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметра filter в SQL-запрос без очистки, что позволяло администраторам выполнять произвольные SQL-команды. В исправлении добавили экранирование параметра filter с помощью метода pwg_db_real_escape_string()

🐛 CVE-2026-32113, обнаруженная в Discourse (версии с 2026.1.0-latest до 2026.1.3), приводит к Open Redirect. Проблема заключалась в том, что во время действия Enter в StaticController выполнялось перенаправление на URL адрес из cookie без проверки, что позволяло злоумышленникам использовать произвольные адреса в качестве точек назначения перехода. В исправлении ввели проверку допустимости URL перед перенаправлением с помощью метода valid_sso_redirect_uri().

🐛 CVE-2026-34725, обнаруженная в DbGate (версии с 7.0.0 до 7.1.5), приводит к Cross-site Scripting (XSS). Проблема заключалась в рендеринге SVG-иконок как HTML без очистки, что позволяло выполнять произвольный JS код в пространстве другого пользователя или локально в Electron-приложении. В исправлении добавили санитизацию SVG-иконок с помощью метода DOMPurify.sanitize()

🐛 CVE-2026-35216, обнаруженная в Budibase (версии до 3.33.4), приводит к OS Commanding. Проблема заключалась в том, что неаутентифицированный злоумышленник мог через публичный webhook-trigger передавать пользовательские данные, которые в дальнейшем превращались в единую shell-команду, что позвляло выполнять произвольные системные команды. В исправлении отказались от выполнения одной динамически собранной shell-команды, разделили запуск на отдельные command и args, запретили шаблонные подстановки в имени команды и оставили динамические значения только в виде массива строковых аргументов.

🐛 CVE-2026-26058, обнаруженная в Zulip (версии с 1.4.0 до 11.6), приводит к Path Traversal. Уязвимость обусловлена тем, что при импорте данных приложение доверяло путям и именам файлов из uploads/records.json без очистки, что позвяло прочитать произвольные файлы из файловой системы. В исправлении была добавлена санитизация записей из records.json: теперь абсолютные пути запрещаются, путь приводится к каноническому виду через realpath(), проверяется, что он остается внутри каталога импорта, а имя файла отдельно очищается перед дальнейшей обработкой.