Пока аудитория строит ожидания по времени публикации пятничных мемов, мы меняем его, причём вручную, безо всяких отложек. Когда публикуются мемы, подписчики теряются от такой внезапности и оказываются вынуждены начать правильную часть пятницы внеурочно.
В этом смысл, в этом наша стратегия🙂
В этом смысл, в этом наша стратегия
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣16❤10🔥4
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-27834, обнаруженная в Piwigo (до версии 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметра
🐛 CVE-2026-32113, обнаруженная в Discourse (версии с 2026.1.0-latest до 2026.1.3), приводит к Open Redirect. Проблема заключалась в том, что во время действия
🐛 CVE-2026-34725, обнаруженная в DbGate (версии с 7.0.0 до 7.1.5), приводит к Cross-site Scripting (XSS). Проблема заключалась в рендеринге SVG-иконок как HTML без очистки, что позволяло выполнять произвольный JS код в пространстве другого пользователя или локально в Electron-приложении. В исправлении добавили санитизацию SVG-иконок с помощью метода
🐛 CVE-2026-35216, обнаруженная в Budibase (версии до 3.33.4), приводит к OS Commanding. Проблема заключалась в том, что неаутентифицированный злоумышленник мог через публичный webhook-trigger передавать пользовательские данные, которые в дальнейшем превращались в единую shell-команду, что позвляло выполнять произвольные системные команды. В исправлении отказались от выполнения одной динамически собранной shell-команды, разделили запуск на отдельные
🐛 CVE-2026-26058, обнаруженная в Zulip (версии с 1.4.0 до 11.6), приводит к Path Traversal. Уязвимость обусловлена тем, что при импорте данных приложение доверяло путям и именам файлов из
🐛 CVE-2026-27834, обнаруженная в Piwigo (до версии 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметра
filter в SQL-запрос без очистки, что позволяло администраторам выполнять произвольные SQL-команды. В исправлении добавили экранирование параметра filter с помощью метода pwg_db_real_escape_string()🐛 CVE-2026-32113, обнаруженная в Discourse (версии с 2026.1.0-latest до 2026.1.3), приводит к Open Redirect. Проблема заключалась в том, что во время действия
Enter в StaticController выполнялось перенаправление на URL адрес из cookie без проверки, что позволяло злоумышленникам использовать произвольные адреса в качестве точек назначения перехода. В исправлении ввели проверку допустимости URL перед перенаправлением с помощью метода valid_sso_redirect_uri().🐛 CVE-2026-34725, обнаруженная в DbGate (версии с 7.0.0 до 7.1.5), приводит к Cross-site Scripting (XSS). Проблема заключалась в рендеринге SVG-иконок как HTML без очистки, что позволяло выполнять произвольный JS код в пространстве другого пользователя или локально в Electron-приложении. В исправлении добавили санитизацию SVG-иконок с помощью метода
DOMPurify.sanitize()🐛 CVE-2026-35216, обнаруженная в Budibase (версии до 3.33.4), приводит к OS Commanding. Проблема заключалась в том, что неаутентифицированный злоумышленник мог через публичный webhook-trigger передавать пользовательские данные, которые в дальнейшем превращались в единую shell-команду, что позвляло выполнять произвольные системные команды. В исправлении отказались от выполнения одной динамически собранной shell-команды, разделили запуск на отдельные
command и args, запретили шаблонные подстановки в имени команды и оставили динамические значения только в виде массива строковых аргументов.🐛 CVE-2026-26058, обнаруженная в Zulip (версии с 1.4.0 до 11.6), приводит к Path Traversal. Уязвимость обусловлена тем, что при импорте данных приложение доверяло путям и именам файлов из
uploads/records.json без очистки, что позвяло прочитать произвольные файлы из файловой системы. В исправлении была добавлена санитизация записей из records.json: теперь абсолютные пути запрещаются, путь приводится к каноническому виду через realpath(), проверяется, что он остается внутри каталога импорта, а имя файла отдельно очищается перед дальнейшей обработкой.👍2
Мало кто знает, но Чингиз Айтматов изначально хотел построить сюжет своего романа «И дольше века длится день» вокруг дня обычного работяги, пытающегося пережить неправильную часть пятницы.
Но потом он пришел к выводу, что сюжет выходит слишком уж драматичным, и переработал его в более лайтовый вариант.
Держитесь, до правильной части осталось совсем немного. А мемы помогут справиться с тем, чтобы это «немного» не казалось вечностью🤗
Но потом он пришел к выводу, что сюжет выходит слишком уж драматичным, и переработал его в более лайтовый вариант.
Держитесь, до правильной части осталось совсем немного. А мемы помогут справиться с тем, чтобы это «немного» не казалось вечностью
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17❤🔥3🤣3
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-39974, обнаруженная в n8n-MCP (до версии 2.47.4), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что пользователь с валидным
🐛 CVE-2026-35463, обнаруженная в pyLoad (версия 0.5.0b3.dev96 и ранее), приводит к OS Command Injection. Проблема заключалась в том, что путь к исполняемому файлу в плагине
🐛 CVE-2026-35209, обнаруженная в defu (до версии 6.1.5), приводит к Prototype Pollution. Проблема заключалась в том, что при передаче произвольных данных первым аргументом в
🐛 CVE-2026-39408, обнаруженная в Hono (версии до 4.12.12), приводит к Path Traversal. Проблема заключалась в том, что специально сформированные значения в
🐛 CVE-2026-27634, обнаруженная в Piwigo (версии до 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметров даты в SQL-запросах без экранирования или проверки типов, что позволяло неаутентифицированному злоумышленнику внедрить и выполнить произвольный SQL код. В исправлении была добавлена функция
🐛 CVE-2026-39974, обнаруженная в n8n-MCP (до версии 2.47.4), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что пользователь с валидным
AUTH_TOKEN мог через HTTP-заголовки передать произвольный URL, по которому сервер выполнял HTTP-запрос, что может привести к доступу к произвольным сервисам. В исправлении была добавлена валидация n8nApiUrl с помощью метода SSRFProtection.validateWebhookUrl().🐛 CVE-2026-35463, обнаруженная в pyLoad (версия 0.5.0b3.dev96 и ранее), приводит к OS Command Injection. Проблема заключалась в том, что путь к исполняемому файлу в плагине
AntiVirus передавался напрямую в subprocess.Popen(), что позволяло пользователю с правами SETTINGS внедрить произвольные команды. В исправлении вынесли чувствительные настройки в отдельный список ADMIN_ONLY_PLUGIN_OPTIONS и запретили изменять AntiVirus/avfile и AntiVirus/avargs всем, кто не является администратором🐛 CVE-2026-35209, обнаруженная в defu (до версии 6.1.5), приводит к Prototype Pollution. Проблема заключалась в том, что при передаче произвольных данных первым аргументом в
_defu() специально подготовленный payload с ключом позволял переопределять ожидаемые значения по умолчанию в результирующем объекте. В исправлении заменили Object.assign на объектный spread { ...defaults }.🐛 CVE-2026-39408, обнаруженная в Hono (версии до 4.12.12), приводит к Path Traversal. Проблема заключалась в том, что специально сформированные значения в
ssgParams позволяли выходить за пределы заданной директории при генерации статических сайтов. В исправлении была добавлена функция ensureWithinOutDir(): перед записью путь теперь нормализуется через joinPaths(), после чего проверяется, что итоговый filePath совпадает с output-директорией или находится строго внутри нее.🐛 CVE-2026-27634, обнаруженная в Piwigo (версии до 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметров даты в SQL-запросах без экранирования или проверки типов, что позволяло неаутентифицированному злоумышленнику внедрить и выполнить произвольный SQL код. В исправлении была добавлена функция
is_valid_mysql_datetime() для валидации значений параметров.👍3
Forwarded from 401 Unauthorized: аутентификация и не только (Andrey Kuznetsov)
401 meetup – call for papers
Друзья, пишу поделиться отличной новостью!
Анонсирую оффлайн-митап про Identity & Access Management (IAM) в Москве 27 мая. Концепция: свободный вендор-независимый митап для сообщества.
Подробности и начало регистрации для участников будут объявлены позднее, а пока приглашаю спикеров заявиться с докладами.
Очень жду и приветствую доклады про аутентификацию, управление доступом и смежные области. Это будет классная возможность выступить на релевантную аудиторию.
Тайминг 35-40 минут. Запись постараюсь организовать, чтобы материалы были доступны.
Принимаем любые идеи, крутые технические или архитектурные доклады всегда в цене. А если вам нужно вдохновение, вот темы, о которых особенно хочется послушать:
⛔️ Для подачи заявки на доклад заполняйте форму.
Прием заявок открыт до 1 мая (но времени не так много, не затягивайте). Со всеми заполнившими форму свяжемся.
По вопросам можно писать Андрею Кузнецову.
Сомневаетесь, подходит ли ваша тема? Оставляйте заявку – обсудим и подумаем вместе. Мы открыты к специалистам с различным опытом и профилем.
Если у вас есть идея доклада, но вы никогда не выступали и переживаете, мы поддержим и поможем подготовиться <3
Напоследок TLDR:
📆 27 мая оффлайн в Москве, площадку согласился предоставить Яндекс
📩 Заявки на доклады присылайте в форму до 1 мая
Stay tuned!
#announce #iam_general
Друзья, пишу поделиться отличной новостью!
Анонсирую оффлайн-митап про Identity & Access Management (IAM) в Москве 27 мая. Концепция: свободный вендор-независимый митап для сообщества.
Подробности и начало регистрации для участников будут объявлены позднее, а пока приглашаю спикеров заявиться с докладами.
Очень жду и приветствую доклады про аутентификацию, управление доступом и смежные области. Это будет классная возможность выступить на релевантную аудиторию.
Тайминг 35-40 минут. Запись постараюсь организовать, чтобы материалы были доступны.
Принимаем любые идеи, крутые технические или архитектурные доклады всегда в цене. А если вам нужно вдохновение, вот темы, о которых особенно хочется послушать:
- Аутентификация и авторизация: MFA, passwordless, адаптивная risk-based аутентификация, Just-in-Time Access, политики и модели контроля доступа
- Протоколы и стандарты: интересные, новаторские практики использования OAuth 2.0, OIDC, SAML, применение новых RFC и спецификаций
- Безопасность identity: Identity Threat Detection and Response (ITDR), уязвимости, атаки на аутентификацию, контроль доступа и меры защиты от них
- Практика и highload: опыт использования “нестандартного” Open Source (Ory, Casdoor, ZITADEL, etc.), адаптация IAM под высокие нагрузки и специфичные НФТ, разработка собственных IAM-решений
- Новые вызовы: аутентификация и контроль доступа для AI-агентов и MCP
- Enterprise-задачи: B2B IAM, федерации, мультитенантность
- Customer IAM (CIAM): UX и безопасность, управление аккаунтами и согласиями, social login
- Архитектура: аутентификация и контроль доступа в распределенных системах, service-to-service взаимодействия, SPIFFE
- Интеграции: комплексные решения из нескольких компонентов: IdM, IAM, SIEM, API Gateway, etc.
Прием заявок открыт до 1 мая (но времени не так много, не затягивайте). Со всеми заполнившими форму свяжемся.
По вопросам можно писать Андрею Кузнецову.
Сомневаетесь, подходит ли ваша тема? Оставляйте заявку – обсудим и подумаем вместе. Мы открыты к специалистам с различным опытом и профилем.
Если у вас есть идея доклада, но вы никогда не выступали и переживаете, мы поддержим и поможем подготовиться <3
Напоследок TLDR:
📆 27 мая оффлайн в Москве, площадку согласился предоставить Яндекс
📩 Заявки на доклады присылайте в форму до 1 мая
Stay tuned!
#announce #iam_general
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Несправедливо конечно, что мемы публикуются тогда, когда неправильная часть пятницы заканчивается у админа, а не у всех остальных. С другой стороны, жизнь вообще несправедлива, а посмотреть мемы никогда не поздно 🙂
Всем чудесного завершения пятницы и классных выходных🤗
Всем чудесного завершения пятницы и классных выходных
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8💔4❤3😁1