🔍 Наиболее интересные уязвимости

🐛 CVE-2026-42430, обнаруженная в OpenClaw в версиях до 2026.4.8, приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в том, что при обработке перенаправлений в Playwright можно было обойти проверки исходящих запросов и получить доступ к внутренним ресурсам. В исправлении изменили порядок сетевой проверки: при работе через доверенный прокси приложение больше не определяет IP-адрес цели заранее, а передаёт разрешение имени самому прокси.

🐛 CVE-2026-41240, выявленная в DOMPurify до версии 3.4.0, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что при использовании функциональной настройки ADD_TAGS запрет из FORBID_TAGS можно было обойти из-за порядка вычисления условий, и запрещённые HTML-теги сохранялись после очистки. В исправлении разработчики устранили утечку настроек ADD_TAGS и ADD_ATTR между вызовами, а также добавили явный ранний запрет для атрибутов из FORBID_ATTR.

🐛 CVE-2026-33208, обнаруженная в Roxy-WI в версиях до 8.2.6.4, приводит к OS Command Injection. Проблема заключалась в том, что эндпоинт /config/<service>/find-in-config принимал пользовательский параметр words и напрямую подставлял его в команду sudo grep, что позволяло внедрить управляющие символы оболочки и выполнить произвольные команды с повышенными привилегиями. В исправлении пользовательское значение перед формированием команды стало проходить проверку через checkAjaxInput().

🐛 CVE-2026-41067, выявленная в Astro до версии 6.1.6, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что функция defineScriptVars() использовала чувствительное к регистру регулярное выражение /<\/script>/g для защиты значений, вставляемых во встроенный тег <script> через директиву define:vars, что позволяло закрыть тег и внедрить произвольный JavaScript-код. В исправлении была добавлена функция stringifyForScript(), которая заменяет каждый символ < на \u003c, чтобы браузер не мог преждевременно закрыть тег при разборе страницы.

🐛 CVE-2026-40611, обнаруженная в Lego до версии 4.34.0, приводит к Path Traversal. Проблема заключалась в том, что вредоносный ACME-сервер мог передать специально подготовленный токен проверки с последовательностями обхода пути, что позволяло записывать или удалять файлы за пределами ожидаемого каталога. В исправлении была добавлена строгая проверка токена на соответствие алфавиту base64url, а для недопустимых значений функция ChallengePath() теперь возвращает безопасный путь /.well-known/acme-challenge/invalid

OWASP RUSSIA MEETUP: AI в анализе кода, SSR-безопасность, атаки на CMS, Telegram-фишинг и ML в AppSec

14 мая состоится OWASP RUSSIA MEETUP — встреча для специалистов по информационной безопасности, разработчиков, AppSec/SRE/DevSecOps-инженеров, инфраструктурных команд и всех, кому интересны современные практики защиты приложений.

В программе — доклады о графовых подходах в анализе кода, рисках SSR на примере React2Shell, атаках на установщики CMS, сценариях Telegram-фишинга через QR-коды и балансе между ML-подходами и классическими правилами в AppSec.

Программа митапа
19:00 — Приветственное слово
Лука Сафонов, OWASP Russia chapter leader
Модератор: Павел Кузнецов, Инфосистемы Джет

19:10 — AI + анализ кода: графовые подходы и почему они снова актуальны
Радда Юрьева, PT

Доклад будет посвящён тому, как CPG/PDG-графы становятся основой для контекстного поиска уязвимостей в коде.

Ключевые темы:
CPG/PDG-графы в анализе кода;
контекстный поиск уязвимостей;
связка графовых подходов с LLM;
применение графовых нейросетей в задачах AppSec.

19:55 — Риски безопасности SSR на примере React2Shell и их митигация
Артем Чувикин, Ngenix

Современные web-приложения всё чаще используют server-side rendering, что улучшает производительность, SEO и пользовательский опыт, но одновременно расширяет поверхность атаки. На примере React2Shell будут разобраны риски, возникающие в SSR-архитектуре, и способы их снижения.

Ключевые темы:
особенности безопасности SSR-приложений;
attack surface server-side React;
уязвимость React2Shell;
практическая эксплуатация на демонстрационном приложении;
virtual patching через WAF, CDN и reverse proxy.

20:35 — Перерыв

20:50 — Атаки на установщики CMS: как захватить контроль над ещё не установленной системой
Александр Колчанов, независимый эксперт

Доклад посвящён сценарию, при котором атакующий находит доступные установщики CMS и использует их для получения контроля над сервером ещё до полноценной установки системы.

Ключевые темы:
поиск открытых установщиков CMS;
получение доступа к админке через процесс установки;
загрузка shell;
удаление установленной CMS и восстановление установщика;
захват контроля без эксплуатации типовых CVE.

21:30 — Как я украду вашу телегу
Михаил Жмайло, CICADA8

QR-код давно стал привычным способом аутентификации во многих приложениях. В докладе будут разобраны фишинговые атаки на QR-аутентификацию, сценарии QRLjacking и использование Telegram как платформы для атак социальной инженерии.

Ключевые темы:
QRLjacking;
фишинговые атаки через Telegram;
захват аккаунта через QR-код;
вредоносный MiniApp;
автоматизация сбора информации;
persistence в Telegram-сценариях.

22:10 — Баланс точности и полноты: ML vs ifчики
Павел Конан, Yandex

Индустрия кибербезопасности активно продвигает AI-powered-решения, противопоставляя их классическим сигнатурам и правилам. Но на практике выбор между ML и rule-based-подходами почти всегда упирается в компромисс между Precision и Recall.

Ключевые темы:
ML против правил и эвристик в AppSec;
компромисс между Precision и Recall;
False Positive и False Negative в WAF и SAST;
alert fatigue у разработчиков;
архитектурные паттерны security-инструментов;
чек-лист: когда нужен ML, а когда достаточно rule-based-подхода.

22:50 — Завершение

Участие в митапе бесплатное и осуществляется по предварительной регистрации. Ссылка на место проведения (Москва) будет отправлена на email.

До встречи 14 мая!