Что может быть правильнее выходной пятницы? Верно, пятница, после которой следуют три выходных 😊
И если вы не последовали примеру админа, и не взяли себе отпуск на сегодня, то самое время подумать над тем, а было ли это разумным решением, и как теперь исправить его последствия😉
Всем чудесных выходных и от души отдохнуть перед неправильной частью мая🤗
И если вы не последовали примеру админа, и не взяли себе отпуск на сегодня, то самое время подумать над тем, а было ли это разумным решением, и как теперь исправить его последствия
Всем чудесных выходных и от души отдохнуть перед неправильной частью мая
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁17❤3🔥2
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-42449, обнаруженная в n8n-MCP (версии с 2.47.4 по 2.47.13), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки IPv6-адресов в синхронной функции проверки URL
🐛 CVE-2026-42275, обнаруженная в zrok (до версии 2.0.2), приводит к Path Traversal. Уязвимость обусловлена тем, что WebDAV-реализация режима
🐛 CVE-2026-41936, обнаруженная в Vvveb (до версии 1.0.8.2), приводит к XML External Entity (XXE). Проблема заключалась в небезопасной конфигурации XML-парсера, позволявшей аутентифицированным пользователям внедрять сущности и раскрыть файлы или изменять записи в базе данных. В исправлении из набора
🐛 CVE-2026-42612, обнаруженная в Grav (до версии 2.0.0-beta.2), приводит к Cross-Site Scripting (XSS). Проблема заключалась в обходе черного списка при обработке несимвольных HTML атрибутов событий в функции
🐛 CVE-2026-38428, обнаруженная в Kestra (до версии 1.3.3), приводит к SQL Injection. Проблема заключалась в попадании пользовательского ввода из GET-параметра в SQL-запрос без валидации или параметризации, что позволяло вставлять произвольные SQL-выражения в запрос к базе данных. В исправлении разработчики отказались от сборки SQL-строк вручную и перевели запросы на параметризованные выражения.
🐛 CVE-2026-42449, обнаруженная в n8n-MCP (версии с 2.47.4 по 2.47.13), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки IPv6-адресов в синхронной функции проверки URL
SSRFProtection.validateUrlSync(), что позволяло обращаться к произвольным хостам в внутренней сети. В исправлении была добавлена отдельная проверка isPrivateOrMappedIpv6(), а синхронный валидатор начал отклонять IPv4-mapped IPv6 и приватные IPv6-адреса.🐛 CVE-2026-42275, обнаруженная в zrok (до версии 2.0.2), приводит к Path Traversal. Уязвимость обусловлена тем, что WebDAV-реализация режима
drive переходила по символьным ссылкам за пределы настроенного общего каталога, что позволяло читать, изменять и удалять файлы вне DriveRoot. В исправлении операции стали разрешать только те символьные ссылки, которые после разрешения остаются внутри корневого каталога, а для проверки пути код начал использовать os.Lstat() и пошаговое разрешение ссылок через os.Readlink().🐛 CVE-2026-41936, обнаруженная в Vvveb (до версии 1.0.8.2), приводит к XML External Entity (XXE). Проблема заключалась в небезопасной конфигурации XML-парсера, позволявшей аутентифицированным пользователям внедрять сущности и раскрыть файлы или изменять записи в базе данных. В исправлении из набора
importXMLOptions были удалены флаги LIBXML_NOENT и LIBXML_NONET, чтобы внешние сущности больше не раскрывались при разборе XML🐛 CVE-2026-42612, обнаруженная в Grav (до версии 2.0.0-beta.2), приводит к Cross-Site Scripting (XSS). Проблема заключалась в обходе черного списка при обработке несимвольных HTML атрибутов событий в функции
detectXss(). В исправлении регулярное выражение on_events было упрощено: оно больше не пытается анализировать значение атрибута и теперь срабатывает уже на сам факт наличия on*= внутри тега🐛 CVE-2026-38428, обнаруженная в Kestra (до версии 1.3.3), приводит к SQL Injection. Проблема заключалась в попадании пользовательского ввода из GET-параметра в SQL-запрос без валидации или параметризации, что позволяло вставлять произвольные SQL-выражения в запрос к базе данных. В исправлении разработчики отказались от сборки SQL-строк вручную и перевели запросы на параметризованные выражения.
👍2🤔1
Есть предположение, что неправильная часть пятницы была придумана исключительно для того, чтобы сильнее ценить правильную 🤔
Держитесь, до «ой, да ну его📼 📼 до понедельника» осталось совсем чуть-чуть 🙂
Держитесь, до «ой, да ну его
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14🤣9❤🔥4🔥1