🔍 Наиболее интересные уязвимости

🐛 CVE-2026-33626, обнаруженная в LMDeploy (версии до 0.12.3), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что функция load_image() позволяла загружать изображения по URL без проверки значений адресов, что позволяло доступ к произвольным хостам. В исправлении была добавлена функция _is_safe_url(), которая разрешает только схемы http/https, извлекает hostname, резолвит все IP-адреса через socket.getaddrinfo() и блокирует любые не global адреса с помощью is_global

🐛 CVE-2026-40565, обнаруженная в FreeScout (версии до 1.8.213), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что функция linkify() в app/Misc/Helper.php не экранировала кавычки в URL, позволяя внедрять произвольные HTML-атрибуты. В исправлении значения для href и отображаемого текста ссылки стали обрабатываться через htmlspecialchars(..., ENT_QUOTES, 'UTF-8') перед генерацией тега <a>.

🐛 CVE-2026-41229, обнаруженная в Froxlor (версии до 2.3.6), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии экранирования одиночных кавычек в строковых литералах PHP, что позволяло внедрять произвольный PHP-код через параметр privileged_user. В исправлении разработчики добавили экранирование обратных слешей и одинарных кавычек в parseArrayToString(), а также ввели отдельную валидацию privileged_user по регулярному выражению и нормализацию mysql_ca.

🐛 CVE-2026-41304, обнаруженная в WWBN AVideo (версии 29.0 и ниже), приводит к OS Command Injection. Проблема заключалась в конкатенации пользовательского ввода в команду wget через exec(), что позволяло внедрять shell-команды с помощью метасимволов. В исправлении аргументы команды стали экранироваться через escapeshellarg()

🐛 CVE-2026-29050, обнаруженная в melange (версии с 0.32.0 до 0.43.4), приводит к Path Traversal. Проблема заключалась в возможности передаче значения pipeline[].uses с последовательностями обхода пути в filepath.Join() без проверки, что позволяло обращаться к произвольным файлам в системе. В исправлении разработчики запретили абсолютные пути и наличие символов обхода пути в uses, а также добавили дополнительную проверку через filepath.Rel() после filepath.Clean()

🔍 Наиболее интересные уязвимости

🐛 CVE-2026-42430, обнаруженная в OpenClaw в версиях до 2026.4.8, приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что при обработке перенаправлений в Playwright можно было обойти проверки исходящих запросов и получить доступ к внутренним ресурсам. В исправлении изменили порядок сетевой проверки: при работе через доверенный прокси приложение больше не определяет IP-адрес цели заранее, а передаёт разрешение имени самому прокси.

🐛 CVE-2026-41240, выявленная в DOMPurify до версии 3.4.0, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что при использовании функциональной настройки ADD_TAGS запрет из FORBID_TAGS можно было обойти из-за порядка вычисления условий, и запрещённые HTML-теги сохранялись после очистки. В исправлении разработчики устранили утечку настроек ADD_TAGS и ADD_ATTR между вызовами, а также добавили явный ранний запрет для атрибутов из FORBID_ATTR.

🐛 CVE-2026-33208, обнаруженная в Roxy-WI в версиях до 8.2.6.4, приводит к OS Command Injection. Проблема заключалась в том, что эндпоинт /config/<service>/find-in-config принимал пользовательский параметр words и напрямую подставлял его в команду sudo grep, что позволяло внедрить управляющие символы оболочки и выполнить произвольные команды с повышенными привилегиями. В исправлении пользовательское значение перед формированием команды стало проходить проверку через checkAjaxInput().

🐛 CVE-2026-41067, выявленная в Astro до версии 6.1.6, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что функция defineScriptVars() использовала чувствительное к регистру регулярное выражение /<\/script>/g для защиты значений, вставляемых во встроенный тег <script> через директиву define:vars, что позволяло закрыть тег и внедрить произвольный JavaScript-код. В исправлении была добавлена функция stringifyForScript(), которая заменяет каждый символ < на \u003c, чтобы браузер не мог преждевременно закрыть тег при разборе страницы.

🐛 CVE-2026-40611, обнаруженная в Lego до версии 4.34.0, приводит к Path Traversal. Проблема заключалась в том, что вредоносный ACME-сервер мог передать специально подготовленный токен проверки с последовательностями обхода пути, что позволяло записывать или удалять файлы за пределами ожидаемого каталога. В исправлении была добавлена строгая проверка токена на соответствие алфавиту base64url, а для недопустимых значений функция ChallengePath() теперь возвращает безопасный путь /.well-known/acme-challenge/invalid

OWASP RUSSIA MEETUP: AI в анализе кода, SSR-безопасность, атаки на CMS, Telegram-фишинг и ML в AppSec

14 мая состоится OWASP RUSSIA MEETUP — встреча для специалистов по информационной безопасности, разработчиков, AppSec/SRE/DevSecOps-инженеров, инфраструктурных команд и всех, кому интересны современные практики защиты приложений.

В программе — доклады о графовых подходах в анализе кода, рисках SSR на примере React2Shell, атаках на установщики CMS, сценариях Telegram-фишинга через QR-коды и балансе между ML-подходами и классическими правилами в AppSec.

Программа митапа
19:00 — Приветственное слово
Лука Сафонов, OWASP Russia chapter leader
Модератор: Павел Кузнецов, Инфосистемы Джет

19:10 — AI + анализ кода: графовые подходы и почему они снова актуальны
Радда Юрьева, PT

Доклад будет посвящён тому, как CPG/PDG-графы становятся основой для контекстного поиска уязвимостей в коде.

Ключевые темы:
CPG/PDG-графы в анализе кода;
контекстный поиск уязвимостей;
связка графовых подходов с LLM;
применение графовых нейросетей в задачах AppSec.

19:55 — Риски безопасности SSR на примере React2Shell и их митигация
Артем Чувикин, Ngenix

Современные web-приложения всё чаще используют server-side rendering, что улучшает производительность, SEO и пользовательский опыт, но одновременно расширяет поверхность атаки. На примере React2Shell будут разобраны риски, возникающие в SSR-архитектуре, и способы их снижения.

Ключевые темы:
особенности безопасности SSR-приложений;
attack surface server-side React;
уязвимость React2Shell;
практическая эксплуатация на демонстрационном приложении;
virtual patching через WAF, CDN и reverse proxy.

20:35 — Перерыв

20:50 — Атаки на установщики CMS: как захватить контроль над ещё не установленной системой
Александр Колчанов, независимый эксперт

Доклад посвящён сценарию, при котором атакующий находит доступные установщики CMS и использует их для получения контроля над сервером ещё до полноценной установки системы.

Ключевые темы:
поиск открытых установщиков CMS;
получение доступа к админке через процесс установки;
загрузка shell;
удаление установленной CMS и восстановление установщика;
захват контроля без эксплуатации типовых CVE.

21:30 — Как я украду вашу телегу
Михаил Жмайло, CICADA8

QR-код давно стал привычным способом аутентификации во многих приложениях. В докладе будут разобраны фишинговые атаки на QR-аутентификацию, сценарии QRLjacking и использование Telegram как платформы для атак социальной инженерии.

Ключевые темы:
QRLjacking;
фишинговые атаки через Telegram;
захват аккаунта через QR-код;
вредоносный MiniApp;
автоматизация сбора информации;
persistence в Telegram-сценариях.

22:10 — Баланс точности и полноты: ML vs ifчики
Павел Конан, Yandex

Индустрия кибербезопасности активно продвигает AI-powered-решения, противопоставляя их классическим сигнатурам и правилам. Но на практике выбор между ML и rule-based-подходами почти всегда упирается в компромисс между Precision и Recall.

Ключевые темы:
ML против правил и эвристик в AppSec;
компромисс между Precision и Recall;
False Positive и False Negative в WAF и SAST;
alert fatigue у разработчиков;
архитектурные паттерны security-инструментов;
чек-лист: когда нужен ML, а когда достаточно rule-based-подхода.

22:50 — Завершение

Участие в митапе бесплатное и осуществляется по предварительной регистрации. Ссылка на место проведения (Москва) будет отправлена на email.

До встречи 14 мая!