Что может быть правильнее выходной пятницы? Верно, пятница, после которой следуют три выходных 😊
И если вы не последовали примеру админа, и не взяли себе отпуск на сегодня, то самое время подумать над тем, а было ли это разумным решением, и как теперь исправить его последствия😉
Всем чудесных выходных и от души отдохнуть перед неправильной частью мая🤗
И если вы не последовали примеру админа, и не взяли себе отпуск на сегодня, то самое время подумать над тем, а было ли это разумным решением, и как теперь исправить его последствия
Всем чудесных выходных и от души отдохнуть перед неправильной частью мая
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁17❤3🔥2
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-42449, обнаруженная в n8n-MCP (версии с 2.47.4 по 2.47.13), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки IPv6-адресов в синхронной функции проверки URL
🐛 CVE-2026-42275, обнаруженная в zrok (до версии 2.0.2), приводит к Path Traversal. Уязвимость обусловлена тем, что WebDAV-реализация режима
🐛 CVE-2026-41936, обнаруженная в Vvveb (до версии 1.0.8.2), приводит к XML External Entity (XXE). Проблема заключалась в небезопасной конфигурации XML-парсера, позволявшей аутентифицированным пользователям внедрять сущности и раскрыть файлы или изменять записи в базе данных. В исправлении из набора
🐛 CVE-2026-42612, обнаруженная в Grav (до версии 2.0.0-beta.2), приводит к Cross-Site Scripting (XSS). Проблема заключалась в обходе черного списка при обработке несимвольных HTML атрибутов событий в функции
🐛 CVE-2026-38428, обнаруженная в Kestra (до версии 1.3.3), приводит к SQL Injection. Проблема заключалась в попадании пользовательского ввода из GET-параметра в SQL-запрос без валидации или параметризации, что позволяло вставлять произвольные SQL-выражения в запрос к базе данных. В исправлении разработчики отказались от сборки SQL-строк вручную и перевели запросы на параметризованные выражения.
🐛 CVE-2026-42449, обнаруженная в n8n-MCP (версии с 2.47.4 по 2.47.13), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки IPv6-адресов в синхронной функции проверки URL
SSRFProtection.validateUrlSync(), что позволяло обращаться к произвольным хостам в внутренней сети. В исправлении была добавлена отдельная проверка isPrivateOrMappedIpv6(), а синхронный валидатор начал отклонять IPv4-mapped IPv6 и приватные IPv6-адреса.🐛 CVE-2026-42275, обнаруженная в zrok (до версии 2.0.2), приводит к Path Traversal. Уязвимость обусловлена тем, что WebDAV-реализация режима
drive переходила по символьным ссылкам за пределы настроенного общего каталога, что позволяло читать, изменять и удалять файлы вне DriveRoot. В исправлении операции стали разрешать только те символьные ссылки, которые после разрешения остаются внутри корневого каталога, а для проверки пути код начал использовать os.Lstat() и пошаговое разрешение ссылок через os.Readlink().🐛 CVE-2026-41936, обнаруженная в Vvveb (до версии 1.0.8.2), приводит к XML External Entity (XXE). Проблема заключалась в небезопасной конфигурации XML-парсера, позволявшей аутентифицированным пользователям внедрять сущности и раскрыть файлы или изменять записи в базе данных. В исправлении из набора
importXMLOptions были удалены флаги LIBXML_NOENT и LIBXML_NONET, чтобы внешние сущности больше не раскрывались при разборе XML🐛 CVE-2026-42612, обнаруженная в Grav (до версии 2.0.0-beta.2), приводит к Cross-Site Scripting (XSS). Проблема заключалась в обходе черного списка при обработке несимвольных HTML атрибутов событий в функции
detectXss(). В исправлении регулярное выражение on_events было упрощено: оно больше не пытается анализировать значение атрибута и теперь срабатывает уже на сам факт наличия on*= внутри тега🐛 CVE-2026-38428, обнаруженная в Kestra (до версии 1.3.3), приводит к SQL Injection. Проблема заключалась в попадании пользовательского ввода из GET-параметра в SQL-запрос без валидации или параметризации, что позволяло вставлять произвольные SQL-выражения в запрос к базе данных. В исправлении разработчики отказались от сборки SQL-строк вручную и перевели запросы на параметризованные выражения.
👍2🤔1
Есть предположение, что неправильная часть пятницы была придумана исключительно для того, чтобы сильнее ценить правильную 🤔
Держитесь, до «ой, да ну его📼 📼 до понедельника» осталось совсем чуть-чуть 🙂
Держитесь, до «ой, да ну его
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14🤣9❤🔥4🔥1
Forwarded from 401 Unauthorized: аутентификация и не только (Andrey Kuznetsov)
401 meetup – регистрация участников
Открывается регистрация участников на 401 meetup. Участие бесплатное.
📆 27 мая в 18:00
📍Москва, ул. Льва Толстого 16 (БЦ Морозов), подъезд 4, 1 этаж, зал Мулен Руж
В этот вечер сфокусируемся на IAM, а в программе будут доклады от прекрасных спикеров:
🔵 Использование развёрнутого контекста устройства и сессии в корпоративном IAM на базе приложения-аутентификатора - Дмитрий Грудинин, архитектор
Identity Security-решений, Avanpost
🔵 Разработка своего IAM в схемах и мемах - Сергей Ипатов, руководитель группы разработки, Лаборатория Касперского
🔵 Политики-ограничения в Yandex Cloud IAM - Антон Дедов, архитектор функций безопасности, Yandex Cloud IAM
Зарегистрироваться и посмотреть подробности можно по ссылке.
Будем рады всем, кто интересуется вопросами аутентификации, авторизации и не только 😉
#announce
Открывается регистрация участников на 401 meetup. Участие бесплатное.
📆 27 мая в 18:00
📍Москва, ул. Льва Толстого 16 (БЦ Морозов), подъезд 4, 1 этаж, зал Мулен Руж
В этот вечер сфокусируемся на IAM, а в программе будут доклады от прекрасных спикеров:
Identity Security-решений, Avanpost
Корпоративный IAM является не просто системой аутентификации в приложения компании для сотрудников. IAM, к которому подключено подавляющее число корпоративных систем, обладает уникальным свойством: сотрудники компании взаимодействуют с такой системой в десятки раз чаще, чем с любыми другими классами продуктов, при этом такое взаимодействие предполагает обязательную аутентификацию субъекта.
В рамках доклада разберём концепцию обогащения контекста IAM-системы информацией об устройствах, сигналах безопасности устройств, сессиях и поведенческих атрибутах процесса аутентификации при помощи приложения-аутентификатора IAM-системы. А также разберём методы прикладного использования такого набора контекстных атрибутов для повышения защищённости и удобства процессов аутентификации.
Доклад про опыт разработки своего IAM в условиях следующих требований: интеграция с legacy API, гибкая поддержка произвольного числа протоколов аутентификации, поддержка расчёта прав с учётом неограниченного числа вложенных групп пользователей и поддержка разных вариантов деплоя. В докладе будут рассмотрены расширения OAuth2/OIDC, протокол SCIM, а также NGAC.
Мы реализовали политики, расширяющие текущую модель авторизации в облаке. Политики вносят элементы ABAC в нашу статичную модель, позволяют точечно вырезать доступы, добавляют понятие облигаций и могут служить фундаментом для других кейсов, например, политик аутентификации. В докладе постараюсь осветить наш путь принятия решения: от абстрактных конструкций к реализации.
Зарегистрироваться и посмотреть подробности можно по ссылке.
Будем рады всем, кто интересуется вопросами аутентификации, авторизации и не только 😉
#announce
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Искусство. Код... ИИ?
Если кому нужно, набросал вот, для личных нужд (не спрашивайте)...
• Go/Gin + TypeScript/React
• 67 уязвимостей, полностью покрывающих OWASP Top 10 for Web Applications 2021+2025
• Неудобное для формальных SAST и DAST (SPA, много логических уязвимостей и плохо формализуемых недостатков)
• За пределами knowledge cut-off нынешних LLM (пока)
• Все уязвимости и их фиксы описаны в VULNERABILITIES.md, вне этого файла никаких намеков на уязвимые места нет
Кто знает, что с этим делать, тот знает
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - v0lka/ShopVault: A simple e-commerce vulnerable web application built with Go and React
A simple e-commerce vulnerable web application built with Go and React - v0lka/ShopVault
1👍3