Мало кто знает, но Чингиз Айтматов изначально хотел построить сюжет своего романа «И дольше века длится день» вокруг дня обычного работяги, пытающегося пережить неправильную часть пятницы.
Но потом он пришел к выводу, что сюжет выходит слишком уж драматичным, и переработал его в более лайтовый вариант.
Держитесь, до правильной части осталось совсем немного. А мемы помогут справиться с тем, чтобы это «немного» не казалось вечностью🤗
Но потом он пришел к выводу, что сюжет выходит слишком уж драматичным, и переработал его в более лайтовый вариант.
Держитесь, до правильной части осталось совсем немного. А мемы помогут справиться с тем, чтобы это «немного» не казалось вечностью
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17❤🔥3🤣3
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-39974, обнаруженная в n8n-MCP (до версии 2.47.4), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что пользователь с валидным
🐛 CVE-2026-35463, обнаруженная в pyLoad (версия 0.5.0b3.dev96 и ранее), приводит к OS Command Injection. Проблема заключалась в том, что путь к исполняемому файлу в плагине
🐛 CVE-2026-35209, обнаруженная в defu (до версии 6.1.5), приводит к Prototype Pollution. Проблема заключалась в том, что при передаче произвольных данных первым аргументом в
🐛 CVE-2026-39408, обнаруженная в Hono (версии до 4.12.12), приводит к Path Traversal. Проблема заключалась в том, что специально сформированные значения в
🐛 CVE-2026-27634, обнаруженная в Piwigo (версии до 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметров даты в SQL-запросах без экранирования или проверки типов, что позволяло неаутентифицированному злоумышленнику внедрить и выполнить произвольный SQL код. В исправлении была добавлена функция
🐛 CVE-2026-39974, обнаруженная в n8n-MCP (до версии 2.47.4), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что пользователь с валидным
AUTH_TOKEN мог через HTTP-заголовки передать произвольный URL, по которому сервер выполнял HTTP-запрос, что может привести к доступу к произвольным сервисам. В исправлении была добавлена валидация n8nApiUrl с помощью метода SSRFProtection.validateWebhookUrl().🐛 CVE-2026-35463, обнаруженная в pyLoad (версия 0.5.0b3.dev96 и ранее), приводит к OS Command Injection. Проблема заключалась в том, что путь к исполняемому файлу в плагине
AntiVirus передавался напрямую в subprocess.Popen(), что позволяло пользователю с правами SETTINGS внедрить произвольные команды. В исправлении вынесли чувствительные настройки в отдельный список ADMIN_ONLY_PLUGIN_OPTIONS и запретили изменять AntiVirus/avfile и AntiVirus/avargs всем, кто не является администратором🐛 CVE-2026-35209, обнаруженная в defu (до версии 6.1.5), приводит к Prototype Pollution. Проблема заключалась в том, что при передаче произвольных данных первым аргументом в
_defu() специально подготовленный payload с ключом позволял переопределять ожидаемые значения по умолчанию в результирующем объекте. В исправлении заменили Object.assign на объектный spread { ...defaults }.🐛 CVE-2026-39408, обнаруженная в Hono (версии до 4.12.12), приводит к Path Traversal. Проблема заключалась в том, что специально сформированные значения в
ssgParams позволяли выходить за пределы заданной директории при генерации статических сайтов. В исправлении была добавлена функция ensureWithinOutDir(): перед записью путь теперь нормализуется через joinPaths(), после чего проверяется, что итоговый filePath совпадает с output-директорией или находится строго внутри нее.🐛 CVE-2026-27634, обнаруженная в Piwigo (версии до 16.3.0), приводит к SQL Injection. Проблема заключалась в прямой конкатенации параметров даты в SQL-запросах без экранирования или проверки типов, что позволяло неаутентифицированному злоумышленнику внедрить и выполнить произвольный SQL код. В исправлении была добавлена функция
is_valid_mysql_datetime() для валидации значений параметров.👍3
Forwarded from 401 Unauthorized: аутентификация и не только (Andrey Kuznetsov)
401 meetup – call for papers
Друзья, пишу поделиться отличной новостью!
Анонсирую оффлайн-митап про Identity & Access Management (IAM) в Москве 27 мая. Концепция: свободный вендор-независимый митап для сообщества.
Подробности и начало регистрации для участников будут объявлены позднее, а пока приглашаю спикеров заявиться с докладами.
Очень жду и приветствую доклады про аутентификацию, управление доступом и смежные области. Это будет классная возможность выступить на релевантную аудиторию.
Тайминг 35-40 минут. Запись постараюсь организовать, чтобы материалы были доступны.
Принимаем любые идеи, крутые технические или архитектурные доклады всегда в цене. А если вам нужно вдохновение, вот темы, о которых особенно хочется послушать:
⛔️ Для подачи заявки на доклад заполняйте форму.
Прием заявок открыт до 1 мая (но времени не так много, не затягивайте). Со всеми заполнившими форму свяжемся.
По вопросам можно писать Андрею Кузнецову.
Сомневаетесь, подходит ли ваша тема? Оставляйте заявку – обсудим и подумаем вместе. Мы открыты к специалистам с различным опытом и профилем.
Если у вас есть идея доклада, но вы никогда не выступали и переживаете, мы поддержим и поможем подготовиться <3
Напоследок TLDR:
📆 27 мая оффлайн в Москве, площадку согласился предоставить Яндекс
📩 Заявки на доклады присылайте в форму до 1 мая
Stay tuned!
#announce #iam_general
Друзья, пишу поделиться отличной новостью!
Анонсирую оффлайн-митап про Identity & Access Management (IAM) в Москве 27 мая. Концепция: свободный вендор-независимый митап для сообщества.
Подробности и начало регистрации для участников будут объявлены позднее, а пока приглашаю спикеров заявиться с докладами.
Очень жду и приветствую доклады про аутентификацию, управление доступом и смежные области. Это будет классная возможность выступить на релевантную аудиторию.
Тайминг 35-40 минут. Запись постараюсь организовать, чтобы материалы были доступны.
Принимаем любые идеи, крутые технические или архитектурные доклады всегда в цене. А если вам нужно вдохновение, вот темы, о которых особенно хочется послушать:
- Аутентификация и авторизация: MFA, passwordless, адаптивная risk-based аутентификация, Just-in-Time Access, политики и модели контроля доступа
- Протоколы и стандарты: интересные, новаторские практики использования OAuth 2.0, OIDC, SAML, применение новых RFC и спецификаций
- Безопасность identity: Identity Threat Detection and Response (ITDR), уязвимости, атаки на аутентификацию, контроль доступа и меры защиты от них
- Практика и highload: опыт использования “нестандартного” Open Source (Ory, Casdoor, ZITADEL, etc.), адаптация IAM под высокие нагрузки и специфичные НФТ, разработка собственных IAM-решений
- Новые вызовы: аутентификация и контроль доступа для AI-агентов и MCP
- Enterprise-задачи: B2B IAM, федерации, мультитенантность
- Customer IAM (CIAM): UX и безопасность, управление аккаунтами и согласиями, social login
- Архитектура: аутентификация и контроль доступа в распределенных системах, service-to-service взаимодействия, SPIFFE
- Интеграции: комплексные решения из нескольких компонентов: IdM, IAM, SIEM, API Gateway, etc.
Прием заявок открыт до 1 мая (но времени не так много, не затягивайте). Со всеми заполнившими форму свяжемся.
По вопросам можно писать Андрею Кузнецову.
Сомневаетесь, подходит ли ваша тема? Оставляйте заявку – обсудим и подумаем вместе. Мы открыты к специалистам с различным опытом и профилем.
Если у вас есть идея доклада, но вы никогда не выступали и переживаете, мы поддержим и поможем подготовиться <3
Напоследок TLDR:
📆 27 мая оффлайн в Москве, площадку согласился предоставить Яндекс
📩 Заявки на доклады присылайте в форму до 1 мая
Stay tuned!
#announce #iam_general
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Несправедливо конечно, что мемы публикуются тогда, когда неправильная часть пятницы заканчивается у админа, а не у всех остальных. С другой стороны, жизнь вообще несправедлива, а посмотреть мемы никогда не поздно 🙂
Всем чудесного завершения пятницы и классных выходных🤗
Всем чудесного завершения пятницы и классных выходных
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8💔4❤3😁1
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-28291, обнаруженная в simple-git (версии до 3.31.1 включительно), приводит к OS Command Injection. Проблема заключалась в обходе блокировки опасных опций через манипуляцию параметрами, что позволяло выполнять произвольные команды. В исправлении разработчики отказались от проверки только точного шаблона
🐛 CVE-2026-30232, обнаруженная в Chartbrew (до версии 4.8.5), приводит к Server-side Request Forgery (SSRF). Уязвимость обусловлена тем, что аутентифицированный пользователь мог создать API connection с URL без проверки, что позволяло выполнять запросы к произвольным ресурсам. В исправлении был добавлен введён флаг
🐛 CVE-2026-40351, обнаруженная в FastGPT (версии до 4.14.9.5), приводит к NoSQL injection. Проблема заключалась в использовании TypeScript type assertion без проверки на этапе выполнения, что позволяло передать оператор запроса MongoDB в поле пароля и обойти проверку. В исправлении была добавлена runtime-валидация тела запроса через
🐛 CVE-2026-40491, обнаруженная в gdown (версии до 5.2.2), приводит к Path Traversal. Проблема заключалась в отсутствии проверки имен файлов в архивах ZIP или TAR, что позволяло записывать файлы за пределами целевой директории. В исправлении была добавлена санитизация с помощью
🐛 CVE-2026-41242, обнаруженная в protobuf.js до версий 8.0.1 и 7.5.5, приводит к Remote Code Execution (RCE). Проблема заключалась в том, что злоумышленник мог внедрить произвольный код в поле
🐛 CVE-2026-28291, обнаруженная в simple-git (версии до 3.31.1 включительно), приводит к OS Command Injection. Проблема заключалась в обходе блокировки опасных опций через манипуляцию параметрами, что позволяло выполнять произвольные команды. В исправлении разработчики отказались от проверки только точного шаблона
-u и добавили более общую проверку clone-опций через CLONE_OPTIONS и isCloneSwitch(), чтобы блокировать разные варианты передачи опасного параметра.🐛 CVE-2026-30232, обнаруженная в Chartbrew (до версии 4.8.5), приводит к Server-side Request Forgery (SSRF). Уязвимость обусловлена тем, что аутентифицированный пользователь мог создать API connection с URL без проверки, что позволяло выполнять запросы к произвольным ресурсам. В исправлении был добавлен введён флаг
allowPrivateHost, чтобы обращения к внутренним адресам больше не проходили по умолчанию и разрешались только явно.🐛 CVE-2026-40351, обнаруженная в FastGPT (версии до 4.14.9.5), приводит к NoSQL injection. Проблема заключалась в использовании TypeScript type assertion без проверки на этапе выполнения, что позволяло передать оператор запроса MongoDB в поле пароля и обойти проверку. В исправлении была добавлена runtime-валидация тела запроса через
zod, и поля username и password теперь принимаются только как строки.🐛 CVE-2026-40491, обнаруженная в gdown (версии до 5.2.2), приводит к Path Traversal. Проблема заключалась в отсутствии проверки имен файлов в архивах ZIP или TAR, что позволяло записывать файлы за пределами целевой директории. В исправлении была добавлена санитизация с помощью
_sanitize_filename(), проверка путей через realpath() и _is_within_directory().🐛 CVE-2026-41242, обнаруженная в protobuf.js до версий 8.0.1 и 7.5.5, приводит к Remote Code Execution (RCE). Проблема заключалась в том, что злоумышленник мог внедрить произвольный код в поле
type protobuf-определения, после чего этот код выполнялся во время декодирования объекта с использованием такого определения. В исправлении разработчики добавили фильтрацию имени типа через name.replace(/\W/g, ""), чтобы удалять все неалфавитно-цифровые символы перед дальнейшей обработкой.👍3